Назад | Перейти на главную страницу

Трансляция адресов Netgear VPN LAN2LAN

Вот мой вопрос:

Я настроил VPN IPsec LAN2LAN (или site2site) со следующими параметрами:

локальная подсеть: 10.178.51.64/27
удаленная подсеть: 10.174.0.0/16

Туннель vpn работает правильно, но проблема в том, что я не могу пинговать или отправлять какие-либо данные на удаленные машины подсети.

Это потому, что моя «настоящая» подсеть - 192.168.1.0/24, но мой партнер хочет, чтобы я подключился к указанной подсети. Я не могу изменить свою подсеть, могу ли я установить это соединение с моим маршрутизатором, который является межсетевым экраном NETGEAR ProSafe VPN Firewall FVS338?

заранее спасибо

Ваш ответ действительно зависит от того, какое сетевое устройство установлено на каждой стороне и какова на самом деле удаленная подсеть.

«Логика» вашего туннеля должна выглядеть следующим образом (независимо от поставщика сети):

  1. Туннель устанавливается между двумя IP-адресами WAN маршрутизатора
  2. Туннель настроен на обеих сторонах, чтобы знать, какие подсети локальной и удаленной локальной сети должны маршрутизироваться между туннелем. Обычно это НЕ IP-подсеть WAN, а подсети LAN внутри маршрутизатора / межсетевого экрана. Это можно сделать с помощью различных методов, таких как маршрутизация, маршрутизация на основе политик или простые туннельные политики. Все зависит от вашего метода атаки и фактически зависит от того, какое сетевое оборудование вы используете.

Устранение неполадок может состоять из проверки связи с обеих сторон вместе с запуском команд отладки на самих маршрутизаторах / брандмауэрах, чтобы увидеть, где останавливается трафик, а также проверке наличия самого туннеля (снова команды зависят от используемого оборудования и выбора IKE).

Если вы полностью заблудились, я бы предложил опубликовать схему сети вместе с оборудованием, используемым с обеих сторон. Это поможет кому-то здесь ответить на вопрос. Однако, если у вас есть поддержка со стороны поставщика сети и вам нужна эта операционная система как можно скорее, я бы посоветовал связаться с ними, чтобы они подключились к вам и прошли через настройки.

Чтобы VPN-туннель site2site работал правильно, у вас обычно есть два варианта настройки туннеля.

Во-первых, это маршрут. Вы создаете туннель между двумя интерфейсами WAN, а затем настраиваете маршруты в брандмауэре, который говорит: «Чтобы добраться до этой подсети LAN, выйдите из туннеля». Обычно вам все равно необходимо указать политику на каждом конце, но только политику РАЗРЕШЕНИЯ между двумя подсетями.

Во-вторых, на основе политики. Вы создаете туннель между двумя интерфейсами WAN, но вместо настройки новых маршрутов вы настраиваете политики и сообщаете политику TUNNEL через этот новый VPN-туннель, который вы создали при отправке трафика для этих двух подсетей.

Все, что сказано, в вашем случае, если вы указываете локальные и удаленные подсети, тогда эти локальные и удаленные подсети должны быть фактическими подсетями, которые должны быть маршрутизированы / использованы (в вашем случае 192.168.1.0/24), в противном случае вы ' Вам нужно будет сделать какой-то перевод на вашей стороне с помощью NAT, изменив любую подсеть, указанную в вашем вопросе (10.x), чтобы она стала внутренней 192.x, в основном с двойным NAT, что становится непросто.

Мой совет - поговорить со своим партнером, объяснить это и выяснить, почему они не хотят, чтобы вы использовали 192.168.1.0/24 в качестве своей подсети. Возможно, у них есть другая локальная подсеть в этом диапазоне и т. Д.

Однако в лучшем случае вам действительно не следует использовать эту подсеть. Используйте другую частную подсеть LAN ... которая просто создаст вам головную боль с домашними сетями людей, когда дело доходит до раздельного туннелирования и т. Д.

Спасибо TheCleaner за ваш ответ, это неплохо, но я хочу опубликовать свой собственный ответ, потому что я решил это и хочу поделиться решением.

Преамбула: VPN устанавливается политиками.

Мой брандмауэр не Cisco, а netgear (это отстой :) кстати, установка vpn lan2lan IPSEC с таким полупрофессиональным маршрутизатором может быть очень разумной.
Как я уже сказал, мой партнер сказал мне: вы должны пройти в туннель с подсетью 10.178.51.64/27, и это обязательно, я ничем не могу вам помочь.
Что ж, единственное решение с помощью межсетевого экрана NETGEAR ProSafe VPN Firewall FVS338 - установить вашу подсеть LAN как такую ​​же, как и локальная подсеть политик vpn.
Поэтому я просто настроил свою локальную сеть как 10.178.51.64 с маской 255.255.255.0, и это сработало как шарм.

Если бы у меня был профессиональный маршрутизатор, такой как Cisco, я мог бы установить некоторые правила для преобразования IP-адреса некоторой подсети, как сказал мне мой партнер. пример: 192.168.1.2 -> 10.178.51.65
К сожалению, это невозможно с моим маршрутизатором / брандмауэром, поэтому единственный шанс решить эту проблему - это изменить мою подсеть LAN.