Networking

連接兩個網路 VPN 不同的 IP 方案

  • August 7, 2012

我有一個客戶,在兩座建築物中有兩個網路,他們想訪問彼此的資源。現在,站點 B 通過 T1 線路上的 VPN 連接到站點 A。他們想擺脫 T1 並去我們當地的有線電視提供商那裡提供 50mb down 5mb up 套餐。站點 B 的 ip 方案是 192.168.1.x,站點 A 的方案是 192.168.0.x。我們有 2 個 Watchguard XTM 25 並準備使用它們來固定 VPN。

總之,我已經準備好連接兩個網路的所有元件,我向社區提出的問題是我需要注意什麼,我是否需要防火牆上的任何特定路由以允許流量從 .0 網路移動到.1 網路,反之亦然。

不幸的是,這是我第一次做這樣的事情,我有點靠我自己!

關於如何在此處進行設置的許多細節都特定於您的 Watchguard 盒子。我從未使用過這些設備,所以我將籠統地說。我還假設您已經知道如何在 Watchguard 之間配置站點到站點 VPN 隧道(從這裡開始我將其稱為“路由器”)。

  1. 需要在路由器之間建立站點到站點的 VPN 隧道
  2. 需要在站點 A 的路由器上設置靜態路由,以將發往 192.168.1.0/24 的流量通過 VPN 路由到站點 B
  3. 需要在站點 B 的路由器上設置靜態路由,以通過 VPN 將發往 192.168.0.0/24 的流量路由到站點 A
  4. 站點之間的防火牆規則應使用“預設拒絕”策略設置,該策略要求您為站點之間打開的 IP 地址和埠明確指定訪問列表。例如,如果站點 A 使用者只需要訪問站點 B 中的文件伺服器和列印機,則應設置防火牆規則,只允許該流量,而不允許其他流量。這限制了附帶損害,如果工作站感染了病毒,它將無法通過 VPN 傳播到其他站點的系統。
  5. 如果隧道掉線,您可能需要某種監控機制來提醒您

當您配置 VPN 隧道時,路由器可能會自動設置第 2 步和第 3 步。

請注意,在此更改之後,站點內網路性能可能會受到很大影響。確實,電纜連接的可用頻寬高於 T1。但是,您的延遲可能會增加一個數量級(這對於像 CIFS 這樣的協議來說是一個巨大的問題,這些協議非常健談,並且在高延遲連接中受到很大影響),並且 WAN 的可靠性將顯著下降。即使這些是“商務艙”有線網際網路連接,它們的服務等級也與 T1 不同。

引用自:https://serverfault.com/questions/415212