連接兩個網路 VPN 不同的 IP 方案

我有一個客戶，在兩座建築物中有兩個網路，他們想訪問彼此的資源。現在，站點 B 通過 T1 線路上的 VPN 連接到站點 A。他們想擺脫 T1 並去我們當地的有線電視提供商那裡提供 50mb down 5mb up 套餐。站點 B 的 ip 方案是 192.168.1.x，站點 A 的方案是 192.168.0.x。我們有 2 個 Watchguard XTM 25 並準備使用它們來固定 VPN。

總之，我已經準備好連接兩個網路的所有元件，我向社區提出的問題是我需要注意什麼，我是否需要防火牆上的任何特定路由以允許流量從 .0 網路移動到.1 網路，反之亦然。

不幸的是，這是我第一次做這樣的事情，我有點靠我自己！

關於如何在此處進行設置的許多細節都特定於您的 Watchguard 盒子。我從未使用過這些設備，所以我將籠統地說。我還假設您已經知道如何在 Watchguard 之間配置站點到站點 VPN 隧道（從這裡開始我將其稱為“路由器”）。

1. 需要在路由器之間建立站點到站點的 VPN 隧道
2. 需要在站點 A 的路由器上設置靜態路由，以將發往 192.168.1.0/24 的流量通過 VPN 路由到站點 B
3. 需要在站點 B 的路由器上設置靜態路由，以通過 VPN 將發往 192.168.0.0/24 的流量路由到站點 A
4. 站點之間的防火牆規則應使用“預設拒絕”策略設置，該策略要求您為站點之間打開的 IP 地址和埠明確指定訪問列表。例如，如果站點 A 使用者只需要訪問站點 B 中的文件伺服器和列印機，則應設置防火牆規則，只允許該流量，而不允許其他流量。這限制了附帶損害，如果工作站感染了病毒，它將無法通過 VPN 傳播到其他站點的系統。
5. 如果隧道掉線，您可能需要某種監控機制來提醒您

當您配置 VPN 隧道時，路由器可能會自動設置第 2 步和第 3 步。

請注意，在此更改之後，站點內網路性能可能會受到很大影響。確實，電纜連接的可用頻寬高於 T1。但是，您的延遲可能會增加一個數量級（這對於像 CIFS 這樣的協議來說是一個巨大的問題，這些協議非常健談，並且在高延遲連接中受到很大影響），並且 WAN 的可靠性將顯著下降。即使這些是“商務艙”有線網際網路連接，它們的服務等級也與 T1 不同。

引用自：https://serverfault.com/questions/415212