У меня есть межсайтовый VPN, настроенный между нашим основным сайтом (сайт A) и удаленным сайтом (сайт B).
Сайт A - 10.60.0.0/16, сайт B - 192.168.99.0/24.
Брандмауэр на сайте B - это Juniper SSG под управлением ScreenOS 6.3, и я использую VPN на основе маршрутов.
Туннель работает отлично: с сайта A вы можете достичь 192.168.99.0 через туннель, а с сайта B вы можете достичь 10.60.0.0 через туннель.
Однако мы хотим, чтобы, если вы находитесь на сайте B и хотите, чтобы Интернет проходил через брандмауэр на сайте A, и прямо сейчас на Juniper 0.0.0.0 маршрутизатор ISP будет следующим переходом.
Насколько я понимаю, на Juniper я могу установить маршрут для общедоступного IP-адреса / 32 на нашем основном сайте, к которому туннель VPN подключается к маршрутизатору ISP через ethernet0 / 0 (внешний интерфейс SSG), а затем изменить значение 0.0. 0.0 для использования нашего брандмауэра основного сайта через tunnel.1 (VPN-туннель).
Не уверен, что я так хорошо это объяснил, но правильно ли я понимаю?
Именно так. Некоторое время я делал это с устройствами JunOS / SRX, а также для торговых выставок за морем. Поскольку многие поставщики контента, такие как hulu, ограничивают контент в США, перенаправление шлюза позволяет нам делать демонстрации, появляясь из офиса. Это может быть немного медленнее из-за дополнительного времени приема-передачи, но, по крайней мере, это работает. После создания туннеля на основе маршрута это так же просто, как «установить маршрут remote-ip / 32 int untrust gateway defgw; сброшенный маршрут 0.0.0.0/0; установить маршрут 0.0.0.0/0 int tunnel.1 '. Вы обязательно захотите убедиться, что вы вошли в систему через VPN, иначе вы потеряете доступ к устройству, и кому-то придется выключить и включить его (или войти в систему локально).