Вопросы Теги

Туннелирование IPSec между 3 разными сайтами

Мне нужна помощь, чтобы пролить свет на туннелирование IPsec. Здесь я объясню свою текущую настройку.

Сайт A <-------IPSEC------> Сайт B (HUB) <------IPSEC------> Сайт C 10.1.1.1/24 10.2.2.1/24 10.3.3.1/24

Туннелирование с сайта A на сайт B и с сайта B на сайт C работает нормально. Однако сайт A не может напрямую связаться с сайтом C, и наоборот.

На Зоне A запись фазы 2: Локально: подсеть LAN Нат / Бинат: Нет Удаленный: Сеть (10.2.2.1/24)

На сайте C запись фазы 2: Локально: подсеть LAN Нат / Бинат: Нет Удаленный: Сеть (10.2.2.1/24)

На сайте B есть 2 туннеля IPSec:

  1. Сайт A, этап 2: Локально: подсеть LAN Нат: Нет Удаленный: Сеть (10.1.1.1/24)[1284 impressionSite C Phase 2 entry: Локально: подсеть LAN Нат: Нет Удаленный: Networ (10.3.3.1/24)

Примечание: к вашему сведению, у нас нет доступа к сайту C. Поэтому любые изменения могут быть внесены только на сайт A и сайт B.

Пожалуйста, дайте мне знать, если вы можете требовать любую другую информацию. Заранее благодарю.

0
задан 15 September 2017 в 06:22
1 ответ

Без доступа к сайту C у вас нет возможности направить трафик, предназначенный для сайта A, по туннелю. Это требует маршрутизации и изменения SA на сайте C.

Поэтому единственное решение - это сделать двойной NAT один к одному на сайте B, чтобы вы «сопоставили» пространство IP-адресов сайта A с сайтом B, и адресное пространство сайта C в сайт B.

Приведем пример. Допустим, компьютер C на сайте C хочет установить связь с компьютером A на сайте A . Компьютер A имеет IP-адрес 10.1.1.10, а компьютер C - IP-адрес 10.3.3.10. Сайт A знает ТОЛЬКО об IP-адресах сайта B, а сайт C знает ТОЛЬКО об адресах сайта B. Итак, вам нужен NAT «один-к-одному» в обоих направлениях.

Визуально это выглядит так, используя примеры IP-адресов из каждой сети:

Во-первых, компьютер C отправляет свои данные в 10.2.2.10 вместо 10.1. 1.10. Сайт B преобразует трафик через NAT, и компьютер A видит трафик, исходящий от 10.2.2.11:

  • [10.3.3.10] -> IPSEC -> [10.2.2.10] SNAT / DNAT [10.2.2.11] -> IPSEC -> [10.1.1.10]

Во-вторых, компьютер A отправляет возвращаемые данные в 10.2.2.11 и сайт B выполняет NAT, так что 10.3.3.10 видит трафик, возвращающийся с 10.2.2.10:

  • [10.1.1.10] -> IPSEC -> [10.2.2.11] SNAT / DNAT [10.2.2.10] -> IPSEC -> [10.3.3.10]

По сути, сайт C считает, что компьютер A находится на уровне 10.2. 2.10, а сайт A считает, что компьютер C находится на 10.2.2.11.

1
ответ дан 4 December 2019 в 16:08

Теги

Похожие вопросы