Маршрутизация интернет-трафика через туннель IPsec между сайтами
Мы пытаемся повторить то, что описано на https://doc.pfsense.org/index.php/Routing_internet_traffic_through_a_site-to-site_IPsec_tunnel#Set_up_the_IPsec_tunnel_Phase_2
Мы используем 2 межсетевых экрана Fortinet Fortigate. Раньше у нас был действующий ipsec vpn между двумя сайтами, но только из локальной сети в локальную. т.е. От локальной сети A до локальной сети B и наоборот. Мы попытались изменить туннели IPsec, чтобы они также передавали трафик, связанный с WAN, но, похоже, он все еще идет напрямую через WAN сайта A.
Наша конфигурация:
12.34.56.0/24 - IP-блок сайта B
Сайт А (филиал):
Фаза 2: Локальный: 172.20.10.0/24 Удаленный: 0.0.0.0/0.0.0.0
Политика:
- внутренний -> siteB, источник ВСЕ, место назначения, ВСЕ
- SiteB -> внутренний, источник ВСЕ, место назначения, ВСЕ
Сайт Б (центр обработки данных)
Фаза 2: Локальный: 0.0.0.0/0.0.0.0 Удаленный: 172.20.10.0/24
Политика:
- внутренний -> siteA, источник ВСЕ, место назначения, ВСЕ
- SiteA -> WAN, источник ВСЕ, место назначения, ВСЕ, динамический пул IP-адресов NAT 12.34.56.1
В дополнение к исходящему трафику, как показано на изображении, мы также хотели бы, чтобы входящий трафик с одного или нескольких IP-адресов был направлен обратно на сайт A. Так, например, если на сайте A размещена веб-страница, а кто-то переходит на 12.34.56.1, он будет направлен на сервер сайта А.
Используйте traceroute или mtr, чтобы выяснить, где пакеты отходят от намеченного пути. Затем перейдите к маршрутизатору, который неправильно отправляет пакеты, и изучите его таблицу маршрутизации. Затем восстановите (или создайте) запись в таблице маршрутизации, которая должна отправлять трафик в туннель.