Назад | Перейти на главную страницу

Туннелирование IPSec между 3 разными сайтами

Мне нужна помощь, чтобы пролить свет на туннелирование IPsec. Здесь я объясню свою текущую настройку.

Сайт A <-------IPSEC------> Сайт B (HUB) <------IPSEC------> Сайт C 10.1.1.1/24 10.2.2.1/24 10.3.3.1/24

Туннелирование от сайта A к сайту B и сайта B к сайту C работает нормально. Однако сайт A не может напрямую связаться с сайтом C, и наоборот.

На сайте A запись фазы 2: Local: LAN Subnet Nat / Binat: None Remote: Network (10.2.2.1/24)

На сайте C запись фазы 2: Local: LAN Subnet Nat / Binat: None Remote: Network (10.2.2.1/24)

На сайте B есть 2 туннеля IPSec:

  1. Сайт A, запись фазы 2: Локальный: Подсеть LAN Nat: Нет Удаленный: Сеть (10.1.1.1/24)

  2. Участок C, этап 2, запись: Локальный: Подсеть LAN Nat: Нет Удаленный: Networ (10.3.3.1/24)

Примечание: к вашему сведению, у нас нет доступа к сайту C. Поэтому любые изменения могут быть сделаны только на сайтах A и B.

Пожалуйста, дайте мне знать, если вам может потребоваться какая-либо другая информация. Заранее спасибо.

Без доступа к сайту C у вас нет возможности направить трафик, предназначенный для сайта A, через туннель. Это требует маршрутизации и изменения SA на сайте C.

Таким образом, единственное решение - сделать двойной NAT один к одному на сайте B, чтобы вы «сопоставили» пространство IP-адресов сайта A с сайтом B, а адресное пространство сайта C с сайтом B.

Приведем пример. Скажем Computer C в Site C хочет общаться с Computer A в Site A. Компьютер A имеет IP-адрес 10.1.1.10, а компьютер C - IP-адрес 10.3.3.10. Сайт A знает ТОЛЬКО об IP-адресах сайта B, а сайт C знает ТОЛЬКО об адресах сайта B. Итак, вам нужен NAT «один-к-одному» в обоих направлениях.

Визуально это выглядит так, используя примеры IP-адресов из каждой сети:

Во-первых, компьютер C отправляет данные в 10.2.2.10 вместо 10.1.1.10. Сайт B преобразует трафик через NAT, а компьютер A видит трафик, исходящий от 10.2.2.11:

  • [10.3.3.10] -> IPSEC -> [10.2.2.10] SNAT / DNAT [10.2.2.11] -> IPSEC -> [10.1.1.10]

Во-вторых, компьютер A отправляет возвращаемые данные в 10.2.2.11, а сайт B выполняет NAT, так что 10.3.3.10 видит трафик, возвращающийся из 10.2.2.10:

  • [10.1.1.10] -> IPSEC -> [10.2.2.11] SNAT / DNAT [10.2.2.10] -> IPSEC -> [10.3.3.10]

По сути, сайт C считает, что компьютер A находится в 10.2.2.10, а сайт A считает, что компьютер C находится в 10.2.2.11.