从另一个IPSec站点访问IPSec站点
我们公司在客户站点提供、安装和维护定制的构建硬件。在所有情况下,交付的设置至少包含一个服务器和两个网络设备。为了保持对网络的控制,我们在客户网络中建立了一个独立的网络,通过放置一个额外的路由器来连接我们所有的硬件。所有“我们的”客户网络都通过IPSec连接到我们的办公室。
所描述的设置使我们能够直接从我们的主办公室访问客户站点上的硬件。我们的防火墙阻止来自客户网站的请求进入我们的办公网络,这样客户就无法到达我们主办公室的任何设备。他们也看不到其他客户网络中的设备。到目前为止,一切都像预期的那样运作。
从几个星期以来,我们在希腊有一个新的办公室,它也通过IPSec连接到我们的主办事处,就像我们的客户站点的连接方式一样。我在办公地点配置了一些额外的防火墙规则,以便其他办公室可以访问我们的主办公网络中的设备。除了能够访问我们办公室的设备外,他们还应该能够到达客户站点。我试图在希腊办公室路由器内设置一条路线,并试图在我们的主办公室设置一些客户路线,但我无法让它正常工作。
我们在主办公室使用pfSence,现在在希腊办事处使用Edgerouter (我知道ER在这个交换中不支持它,但我的问题不是专门关于Edger外层的)。我们的想法是,希腊办事处的设备通过我们的主办公室连接到我们的客户网络。我们也不想为每个新客户做“希腊特定的配置”。
我读过这,理解了theorie,但未能将其付诸实践。
网络
- 总部: 10.128.10.0/24
- 客户网络: 10.130.x.0/24 (每个客户的x值不同)
- 希腊办事处网络: 10.130.2.0/24
我尝试了什么:
- 在希腊办公室路由器设置路由: 10.130.0.0/16,通过10.128.10.1
- 在主办公室设置一条路线: 10.130.0.0/16,通过10.128.10.1 (因为我可以从这个网络到达客户网络)
- 允许从10.130.2.0/24到所有“任意”网络的所有通信量(和协议)
我希望我提到所有需要的信息,如果不让我知道!我是软件工程师,不是网络工程师;-)
更新1:
IPSec连接就是这样配置的(在主办公室)。
<phase1>
<ikeid>5</ikeid>
<iketype>ikev2</iketype>
<interface>wan</interface>
<remote-gateway>domain.no-ip.org</remote-gateway>
<protocol>inet</protocol>
<myid_type>myaddress</myid_type>
<myid_data></myid_data>
<peerid_type>fqdn</peerid_type>
<peerid_data>domain.no-ip.org</peerid_data>
<encryption>
<item>
<encryption-algorithm>
<name>aes</name>
<keylen>128</keylen>
</encryption-algorithm>
<hash-algorithm>sha256</hash-algorithm>
<dhgroup>14</dhgroup>
</item>
</encryption>
<lifetime>28800</lifetime>
<pre-shared-key>Some_Key_Here</pre-shared-key>
<private-key></private-key>
<certref></certref>
<caref></caref>
<authentication_method>pre_shared_key</authentication_method>
<descr><![CDATA[Some IP Sec connection]]></descr>
<nat_traversal>on</nat_traversal>
<mobike>off</mobike>
<closeaction></closeaction>
<margintime></margintime>
<responderonly></responderonly>
</phase1>
<phase2>
<ikeid>5</ikeid>
<uniqid>5efc4de77ba1a</uniqid>
<mode>tunnel</mode>
<reqid>1</reqid>
<localid>
<type>network</type>
<address>10.128.0.0</address>
<netbits>16</netbits>
</localid>
<remoteid>
<type>network</type>
<address>10.130.4.0</address>
<netbits>24</netbits>
</remoteid>
<protocol>esp</protocol>
<encryption-algorithm-option>
<name>aes</name>
<keylen>128</keylen>
</encryption-algorithm-option>
<encryption-algorithm-option>
<name>aes128gcm</name>
<keylen>128</keylen>
</encryption-algorithm-option>
<hash-algorithm-option>hmac_sha256</hash-algorithm-option>
<pfsgroup>14</pfsgroup>
<lifetime>3600</lifetime>
<pinghost>10.130.4.1</pinghost>
<descr><![CDATA[axn_int to external]]></descr>
</phase2>它还表示客户站点的配置,客户站点的本地网络为10.130.4.0/24,远程网络为10.128.0.0/16。我是否正确地理解了我还需要增加第二阶段,例如:
- 客户网站:
- 当地10.130.4.0/24
- 远程10.130.0.0/16
- 主办公室
- 当地10.130.0.0/16
- 远程10.130.4.0/24
或者“只是”需要在客户设备上添加路由,比如:
- 10.130.0.0/16至10.128.10.1
回答 1
Network Engineering用户
发布于 2020-09-08 13:50:21
其他远程站点需要知道如何到达希腊路由器以获得返回流量。
根据路由的配置方式,您需要在每个路由器上添加一条路由才能到达希腊路由器,或者将默认路由添加回主办事处。
https://networkengineering.stackexchange.com/questions/69914
复制相似问题
腾讯云开发者
