Итак, у меня есть установленный туннель IPSec Site to Site.
На сайте A есть SonicWall, на сайте B - EdgeRouter.
Первый туннель состоит из IP-адресов с NAT от Сайта A и IP-адресов с NAT для Сайта B.
Все работает как положено.
Затем у меня есть общедоступный диапазон IP-адресов, к которому должен получить доступ сайт B, но запросы должны выглядеть так, как будто они поступают с сайта A. Когда я настраиваю этот туннель, я могу просто видеть падение трафика на шлюзе.
Я не могу получить доступ ни к одному из этих IP-адресов. Из-за того, что он отлично работает в той же конфигурации для локальной сети, я считаю, что это может быть проблема с NAT, но я не уверен и не знаю, как проводить дальнейшую диагностику.
Это могло быть отвлекающим маневром, поскольку я не был очень уверен ... Я попытался ввести правила "разрешить все" для VPN> WAN / WAN> VPN, затем отфильтровать по индивидуальному IP-адресу, а затем пропинговать его с сайта B .. Я вижу отброшенные пакеты.
Кто-нибудь может здесь дать совет?
Итак, вам просто нужно направить запросы в определенный диапазон в Интернете через туннель? Можете ли вы добавить статический маршрут для этого диапазона?
В качестве обходного пути настройте прокси-сервер на сайте A и пусть компьютеры на сайте B используют его для определенных сайтов.
Думайте проще!
Если я понимаю ваш вопрос, вы пытаетесь сделать это:
Server A - Router A - VPN - Router B - Site B
Вам нужен сайт B для доступа к серверу A (который является общедоступным IP-адресом) через VPN, но вам нужно, чтобы исходный адрес выглядел так, как будто он исходит от сайта A?
Вам необходимо указать трафик, идущий на сервер A, чтобы проходить через VPN на маршрутизаторе B. На маршрутизаторе A вам необходимо указать обратный трафик, который будет проходить через VPN. Затем на маршрутизаторе A вам необходимо настроить правило NAT, чтобы изменить SRC IP трафика, поступающего с сайта B и идущего на сервер A, на IP-адрес, который будет принимать сервер A.
Чтобы вернуться к старому вопросу, который я опубликовал:
Ответ ... Купите новый роутер!
Я потратил на это слишком много времени ... Оказывается, МНОГО готовые роутеры, просто не справляются. Sonicwall и Juniper - лишь немногие из них.
Проблема в том, что вам нужно определить свои WAN и LAN, а интерфейсы IPSEC / VPN подключены к WAN, тогда, если есть небольшое пересечение или вам нужна нестандартная настройка, он просто не работает и не может маршрутизировать должным образом.
В конце концов, я обнаружил, что Vyatta и EdgeOS (вилка от Vyatta) блестяще справляются с этой настройкой, вы просто указываете, какие подсети пересылать, на каком интерфейсе должен быть туннель - и все работает, как ожидалось.