У меня есть три сайта, подключенных к двум туннелям IPSec:
Site A - 192.168.10.0/24
|
IPSec tunnel
|
Site B - 192.168.0.0/24
|
IPSec tunnel
|
Site C - 10.0.0.0/8
Это отлично работает, и я могу подключиться к сайту A и сайту C с сайта B. Мне нужно попасть на сайт C с сайта A. Возможно ли это с моей текущей настройкой?
Предполагая, что вы не хотите согласовывать дополнительный туннель между сайтом A и сайтом C напрямую, вы можете сделать это, просто согласовав соответствующие политики IPsec для двух существующих подключений (и, конечно, разрешив пересылку этого трафика на сайт B. ).
Между сайтами A и B вы ведете переговоры 10.0.0.0/8 на сайте B и между сайтом B и сайтом C вы ведете переговоры 192.168.10.0/24 на сайте B. Это позволяет сайтам A и C отправлять трафик в эти дополнительные подсети на сайт B, который затем также может пересылать этот трафик соответствующим образом (для этого нужны политики пересылки, которые разрешают трафик от 192.168.10.0/24 к 10.0.0.0/8 и наоборот).
Если вы используете IKEv2, вы можете просто добавить дополнительные подсети в селектор локального трафика сайта B для каждого из двух подключений. И аналогично на сайтах A и C для их удаленных селекторов трафика, или вы можете настроить 0.0.0.0/0 там, чтобы позволить сайту B выполнить сужение до двух подсетей.