作者itaipei (爱台北)
看板Network
标题[问答] Juniper SSG5 VPN Tunnel 路由问题
时间Mon Aug 28 17:26:24 2017
各位高手大家好,
目前有个问题想跟大家请教,
我分别有A_site& B_site两个site,
A_site跟B_site之间两台SSG5已建好了VPN Tunnel,
但目前有个需求,
A_site 底下的某个Host该怎麽让这Host走VPN Tunnel从B_site 上internet?
图示
http://i.imgur.com/McpzlGu.png
不知道有没有高手这样做过?谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 60.248.108.253
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/Network/M.1503912386.A.565.html
1F:推 vjuko: pbr? 08/28 20:26
2F:→ chingchen: Host Gateway指向A_Site SSG5,A_Site SSG5 Default指 08/30 19:25
3F:→ deadwood: 透过internet建立的site to site vpn不太可能这样做 08/30 22:04
4F:→ deadwood: 除非你建立的是GRE tunnel over IPSEC 08/30 22:05
5F:→ deadwood: 至少要5.1以後才支援GRE tunnel 08/30 22:05
6F:→ itaipei: 目前SSG5 都是6.3,试看看d大这个方式GREtunnelover IPSEC 08/31 11:43
7F:→ itaipei: 跟D大请教, GRE tunnel over ipsec完成後, 该怎麽路由? 08/31 11:44
8F:→ itaipei: 透过PBR, 指向tunnel.1 但还是无法从tunnel.1出去 08/31 14:54
9F:推 vjuko: site B policy开了吗?tracert 卡在…? 08/31 15:57
10F:→ itaipei: Policy都开了!!routing 不会从Asite往Bsite走. 08/31 17:02
11F:→ itaipei: 目前Asite_lan跟Bsite_lan 一直都可以通. 08/31 17:09
12F:→ deadwood: B侧的NAT有加吗?要走B上网,B要能把A网段IP往外NAT才行 08/31 22:22
13F:→ deadwood: 还有要看SSG需不需要特别设定让流量从untrust进来又出去 08/31 22:23
14F:→ deadwood: 还有一点要注意就是我说的GRE,是指tunnel要独立网段 08/31 22:25
15F:→ deadwood: 两巅的tunnel interface都要设定IP,PBR指向对面tunnel 08/31 22:25
16F:→ deadwood: interface的IP,指介面通常是不可能做得成的 08/31 22:26
17F:推 zongyou: 没用过Juniper,但以IPSec 而言你可另建一tunnel 192.168 09/08 21:02
18F:→ zongyou: .1.50/32<>0.0.0.0/0,然後建相对应的SNAT policy与firew 09/08 21:02
19F:→ zongyou: all route就可以了 09/08 21:02
20F:→ zongyou: Firewall rule 09/08 21:03
21F:→ itaipei: Z大~~还是不太明了, 可以在解说一下?thx 09/15 14:01