Мне нужна помощь, чтобы пролить свет на туннелирование IPsec. Здесь я объясню свою текущую настройку.
Сайт A <-------IPSEC------> Сайт B (HUB) <------IPSEC------> Сайт C 10.1.1.1/24 10.2.2.1/24 10.3.3.1/24
Туннелирование с сайта A на сайт B и с сайта B на сайт C работает нормально. Однако сайт A не может напрямую связаться с сайтом C, и наоборот.
На Зоне A запись фазы 2: Локально: подсеть LAN Нат / Бинат: Нет Удаленный: Сеть (10.2.2.1/24)
На сайте C запись фазы 2: Локально: подсеть LAN Нат / Бинат: Нет Удаленный: Сеть (10.2.2.1/24)
На сайте B есть 2 туннеля IPSec:
Сайт A, этап 2: Локально: подсеть LAN Нат: Нет Удаленный: Сеть (10.1.1.1/24)[1284 impressionSite C Phase 2 entry: Локально: подсеть LAN Нат: Нет Удаленный: Networ (10.3.3.1/24)
Примечание: к вашему сведению, у нас нет доступа к сайту C. Поэтому любые изменения могут быть внесены только на сайт A и сайт B.
Пожалуйста, дайте мне знать, если вы можете требовать любую другую информацию. Заранее благодарю.
Без доступа к сайту C у вас нет возможности направить трафик, предназначенный для сайта A, по туннелю. Это требует маршрутизации и изменения SA на сайте C.
Поэтому единственное решение - это сделать двойной NAT один к одному на сайте B, чтобы вы «сопоставили» пространство IP-адресов сайта A с сайтом B, и адресное пространство сайта C в сайт B.
Приведем пример. Допустим, компьютер C
на сайте C
хочет установить связь с компьютером A
на сайте A
. Компьютер A имеет IP-адрес 10.1.1.10, а компьютер C - IP-адрес 10.3.3.10. Сайт A знает ТОЛЬКО об IP-адресах сайта B, а сайт C знает ТОЛЬКО об адресах сайта B. Итак, вам нужен NAT «один-к-одному» в обоих направлениях.
Визуально это выглядит так, используя примеры IP-адресов из каждой сети:
Во-первых, компьютер C отправляет свои данные в 10.2.2.10 вместо 10.1. 1.10. Сайт B преобразует трафик через NAT, и компьютер A видит трафик, исходящий от 10.2.2.11:
Во-вторых, компьютер A отправляет возвращаемые данные в 10.2.2.11 и сайт B выполняет NAT, так что 10.3.3.10 видит трафик, возвращающийся с 10.2.2.10:
По сути, сайт C считает, что компьютер A находится на уровне 10.2. 2.10, а сайт A считает, что компьютер C находится на 10.2.2.11.