Назад |
Перейти на главную страницу
VPN IPSEC через интернет-бокс с одной стороны и сохранение интернет-соединения с другой.
Я хочу настроить туннель VPN IPSec между двумя сайтами, скажем, ПАРИЖОМ и Тулузой. Туннель хорошо поднялся, и статуи на маршрутизаторах VPN Gateway с обеих сторон показывают, что все в порядке. Проблема в том, что у меня есть промежуточный блок V4 посередине, и трафик проходит через VPN с одной стороны и вынужден проходить через Интернет с другой стороны.
Вы бы нашли прикрепленный черновик моей архитектурной схемы (у меня здесь недостаточно репутации, чтобы размещать изображения), - объясняется ниже.
- Со стороны Парижа у нас есть Cisco ASA5512 маршрутизатор с общедоступным интерфейсом, подключенный к интернет-провайдеру Парижа
Коммутатор L3 подключен к маршрутизатору cisco, к которому подключена ЛВС Парижа, а маршрутизатор Cisco имеет частный интерфейс, подключенный к коммутатору и связанный с одной VLAN.
На стороне Тулузы у нас есть Шлюз безопасности Ubiquiti UniFi маршрутизатор
- Этот маршрутизатор Ubiquiti имеет частный интерфейс, подключенный к интернет-ящику (принадлежащему провайдеру Тулузы), и другой частный интерфейс, подключенный к локальной сети Тулузы.
Таким образом, публичный IP-адрес туннеля на стороне Тулузы является публичным IP-адресом интернет-бокса.
- Маршрутизатор Тулузы использует частный IP-адрес интернет-бокса в качестве шлюза по умолчанию.
- Маршрутизатор Парижа напрямую использует публичный IP-адрес интернет-провайдера Парижа в качестве шлюза по умолчанию, поскольку он общедоступен для подключения к интернет-провайдеру.
Проблема в:
- С хоста в Тулузе я могу пинговать и rpc хост в Париже, команда traceroute показывает, что пакеты проходят через туннель vpn
- От хоста в локальной сети Парижа, когда я пытаюсь связаться с хостом на другом конце туннеля в Тулузе, маршрутизатор Парижа заставляет пакет проходить через Интернет, поэтому он отправляет пакеты интернет-провайдеру через свой общедоступный интерфейс, который не знает, как добраться до пункта назначения, так как это адрес частной сети (192.168.11.0/24), поэтому передача пакета завершилась за превышенное время
- Если я укажу статический маршрут на парижском маршрутизаторе, говорящий ему отправлять пакеты, идущие в сеть 192.168.11.0/24 на общедоступный IP-адрес интернет-бокса Тулузы, он не знает, как туда добраться и блокирует
Тогда как в этой конфигурации я могу сделать так, чтобы пакеты с маршрутизатора Paris в сеть 192.168.11.0/24 проходили через туннель vpn?