У меня двухчастный:
Вчера я настроил локальную сеть для локальной сети VPN (после этой статьи можжевельника kb), и она почти работала, поэтому я нашел другой руководство и прошел процесс создания записей маршрута для статических IP-адресов, после чего все стало работать нормально. Сегодня утром я встал, и он больше не работал.
При дальнейшем просмотре настроек я обнаружил, что мои записи маршрутизации выглядят не совсем правильно. На брандмауэре site-A я использовал настройки:
Я изменил эти настройки для сайта B, хотя подсеть сайта A другая.
Проблема в том, что маршруты придумывают разные IP / маска сети запись, где в настройках сайта-A статический IP-адрес сайта-B составляет 12.345.67.87. Точно так же настройки сайта B читают статический IP сайта A как: 987.654.32.08. Короче говоря, проблема в том, что две последние цифры IP-адреса на 2 меньше, чем я изначально ввел.
Заметка
Используя только статью в базе знаний Juniper, я могу создать почти функциональную VPN, в которой оба брандмауэра сообщают об активном туннеле. Кроме того, мой DHCP-сервер (машина Windows) показывает записи для рабочих станций на сайте-B, но я не могу пинговать их, а также они не могут просматривать Интернет, пинговать меня или получать доступ к своим сетевым дискам (которые размещены на сайте-A).
Оба сайта используют межсетевой экран Juniper SSG5.
Заранее благодарю за любую помощь!
Изменить - предоставление дополнительной информации
С любого компьютера на сайте A я могу проверить связь с двумя частными IP-адресами, которые находятся на сайте B: 172.16.100.50, который является IP-адресом интерфейса для bgroup0 на брандмауэре сайта B, и 172.16.100.53, который является рабочей станцией, с которой сайт -B офис не может физически найти.
С любого компьютера на сайте B пинг частного IP-адреса на сайте A (172.16.10.12) не получает ответа.
При входе в любой брандмауэр через PuTTY я не могу выполнить эхо-запрос ни одного из IP-адресов локальной сети (например, пинг с сайта A на сайт B 172.16.100.56 и пинг с сайта B на сайт A 172.16.10.12), но я могу пинговать статические WAN IP-адреса каждого устройства.
Вторая статья, на которую я ссылаюсь, предполагает, что мне также нужно было создать маршруты для статических IP-адресов WAN, это адреса, на которые я ссылаюсь в своем OP. Сетевые маски, которые я использую, я получил от интернет-провайдеров каждого сайта. Сетевая маска сайта A - 29, сетевая маска сайта B - 30.
Разве я на днях не ответил на ваши вопросы по этому поводу? Вопрос был удален?
Созданные вами записи CIDR установят его таким образом из-за маски.
Если вы устанавливаете маску / 30, то технически первый (хотя второй октект недействителен) должен быть похож на:
12.0.67.88 - 12.0.67.91, с .88 в качестве маршрута / сети, .89 и .90 допустимые хосты и .91 широковещательный адрес.
Вам необходимо убедиться, что ваши подсети и записи маршрутизации соответствуют правильному разделению на подсети.
Вкратце для настройки VPN:
РЕДАКТИРОВАТЬ:
Хорошо, посмотрев на диаграмму, я вижу:
ДЛЯ СЕБЯ ТУННЕЛЯ:
ДЛЯ ПОЛИТИКИ:
ДЛЯ МАРШРУТОВ:
MICHIGAN SSG5 (примечание: я предполагаю, что у вас есть только одно соединение WAN, и что текущий маршрут по умолчанию 0.0.0.0 указывает на шлюз 108.245.51.86):
FLORIDA SSG5 (то же примечание, что и мичиганский)
Все сказанное ...
Вам не нужны записи статической маршрутизации для ваших подключений к WAN ISP.
Я думаю, ваша основная проблема сводится к тому, что ваша подсеть LAN во Флориде - 172.16.100.0/24, но ваш IP-адрес bgroup1 - 172.16.100.50, который находится в середине этой подсети, идеально было бы, чтобы это было 172.16.100.1, а не .50. На ОБЕИХ сторонах убедитесь, что выбран правильный шлюз по умолчанию для рабочих станций. На стороне Мичигана все они должны быть установлены на 172.16.10.1, а на стороне Флориды они должны быть установлены на 172.16.100.50.
Предполагая, что все записи vpn, политики и маршрутизации SSG5 верны, я держу пари, что проблема заключается именно здесь, со шлюзами по умолчанию на компьютерах.