[除錯] Site to Site VPN(更新資訊)

看板Network作者 (魚)時間13年前 (2011/01/12 13:29), 編輯推噓0(0040)
留言40則, 4人參與, 最新討論串1/2 (看更多)
目前照下面的設定..已經可以互相通到對方的內網了 Config因為有點多 所以我貼在txt 放到網路上.. http://dl.dropbox.com/u/9337809/config.txt 現在是希望讓A這邊電腦..透過B這邊的Untrust出去Internet.. 這地方不知道該怎麼下= = 在麻煩版上的高手幫忙一下了 謝謝。 補一下現在兩邊的Policy和Routing A的Policy http://dl.dropbox.com/u/9337809/Snap_2011.01.13%2007.57.09_001.png
A的Routing http://dl.dropbox.com/u/9337809/Snap_2011.01.13%2007.58.01_002.png
B的Policy http://dl.dropbox.com/u/9337809/Snap_2011.01.13%2008.02.06_003.png
B的Routing http://dl.dropbox.com/u/9337809/Snap_2011.01.13%2008.02.21_004.png
-- -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 114.32.24.230
01/12 14:25, , 1F
這樣的話 問題就簡單了 兩個關鍵點 A這邊的電腦 以及 B
01/12 14:25, 1F
01/12 14:25, , 2F
那邊的Firewall 是A這邊的電腦 就要看自己的路由表
01/12 14:25, 2F
01/12 14:26, , 3F
而B端的防火牆 只要注意有沒有開放VPN所配發的網段即可
01/12 14:26, 3F
01/12 14:34, , 4F
這樣單台電腦ok...可是A整個網段的電腦都得這樣設定嗎
01/12 14:34, 4F
01/12 14:42, , 5F
若是整個網段的話 那就得從Default Gateway 下手
01/12 14:42, 5F
01/12 14:42, , 6F
不過一般來說 我會不建議這個方法 !!!
01/12 14:42, 6F
01/12 14:42, , 7F
(從A端的Default Gateway)
01/12 14:42, 7F
01/12 15:10, , 8F
A的防火牆加一條Routing Tablet..
01/12 15:10, 8F
01/12 15:11, , 9F
將A的網段加一條B的(Wan ? Lan?) 當作Gateway嗎??
01/12 15:11, 9F
01/12 16:49, , 10F
不知道你的Default Gateway是不是A的防火牆 若是...那就
01/12 16:49, 10F
01/12 16:50, , 11F
在那台防火牆上加上Default Route 並且在B防火牆設置...
01/12 16:50, 11F
01/12 16:50, , 12F
若要到A網段的IP 要丟給哪一個介面 or Next-Hop...
01/12 16:50, 12F
01/12 17:31, , 13F
http://db.tt/FEQBVB6 這是目前的Routing table..
01/12 17:31, 13F
01/12 22:14, , 14F
firewall A不能有default gateway
01/12 22:14, 14F
01/12 23:10, , 15F
我default gateway移除掉..VPN沒斷但Ping不到B的網段了
01/12 23:10, 15F
01/12 23:18, , 16F
我這個作法是靠路由協定去做VPN..如果是政策協定會OK嗎
01/12 23:18, 16F
01/12 23:35, , 17F
POLICY ROUTE 應該是可以~SOURCE IP是A網網段的~NEXT HOP
01/12 23:35, 17F
01/12 23:36, , 18F
就設到B那邊去~B那邊加一段把要到A的在送回來~理論上應
01/12 23:36, 18F
01/12 23:37, , 19F
該要可以~
01/12 23:37, 19F
01/12 23:38, , 20F
在a上面把default拿掉~這樣會通嗎??我怎覺的vpn也會斷啊~
01/12 23:38, 20F
01/12 23:47, , 21F
剛不知明原因斷掉一邊= =..明天才能試了
01/12 23:47, 21F
01/12 23:47, , 22F
剛剛拿掉default..VPN還是連著= =
01/12 23:47, 22F
01/12 23:47, , 23F
因為我有遠端連著電腦..沒斷線很神奇=0=
01/12 23:47, 23F
01/12 23:49, , 24F
沒default gateway 不代表不用設其它的'兩筆route'
01/12 23:49, 24F
01/12 23:50, , 25F
沒default route~vpn要怎麼建??應該連到isp都有問題吧~
01/12 23:50, 25F
01/12 23:52, , 26F
你說的政策協定~是不是POLICY BASE的VPN~如果是~我覺的作
01/12 23:52, 26F
01/12 23:54, , 27F
不到你要的需求耶~~不過我沒試過就是~
01/12 23:54, 27F
01/13 00:03, , 28F
不過如果POLICY BASE VPN的優先權在DEFAULT ROUTE之前的話
01/13 00:03, 28F
01/13 00:05, , 29F
應該還是有可能可以~
01/13 00:05, 29F
01/13 01:01, , 30F
billboy你應該想想為什麼需要default route才能通
01/13 01:01, 30F
01/13 01:02, , 31F
在我的router上 是沒有default route的 上面建了八個vpn
01/13 01:02, 31F
01/13 01:30, , 32F
嗯啊~我就是不懂沒DEFAULT為啥會通~沒DEFAULT~要怎樣連上
01/13 01:30, 32F
01/13 01:31, , 33F
ISP???
01/13 01:31, 33F
01/13 01:32, , 34F
除非是點對點那種才可能不用DEFAULT GATEWAY~
01/13 01:32, 34F
01/13 01:34, , 35F
不然就是每一筆ROUTE 都自己手動打上去~不然要怎麼通~
01/13 01:34, 35F
01/13 01:40, , 36F
一筆一筆打當然也可以通~不過INTERNET有33萬1筆ROUTE耶~
01/13 01:40, 36F
01/13 01:41, , 37F
USER不上INTERNET當然這樣也可以啊~
01/13 01:41, 37F
※ 編輯: osiris901 來自: 114.32.24.230 (01/13 08:06)
01/13 08:22, , 38F
可以問一下Next Hop這是做甚麼用的嗎@@
01/13 08:22, 38F
01/13 16:32, , 39F
POLICY BASE的ROUTING~要先建ROUTE MAP~
01/13 16:32, 39F
01/13 16:32, , 40F
我在JUNIPER的SSG 140有看到這東西~5系列不知有沒有~
01/13 16:32, 40F
更多 osiris901 的文章
文章代碼(AID): #1DBJnI1- (Network)
更多 osiris901 的文章
文章代碼(AID): #1DBJnI1- (Network)