兩張網卡和一個VPN
我確定我在這裡遺漏了一些非常基本的東西,但我迷路了。
我們的設置非常簡單:三台伺服器,每台都有 2 個 NIC(每個都有一個公共卡和一個 LAN 卡,LAN 連接 2 個這樣的伺服器
158.xxx.xxx.xxx(wan1)<->10.14.18.11<–LAN–>10.14.18.12<->208.xxx.xxx.xxx(WAN2)<—IPSEC VPN—>207 .xxx.xxx.xxx(WAN3)<->172.24.16.200
158.xxx.xxx.xxx 是 Ubuntu 14 網路伺服器 208.xxx.xxx.xxx 是 Sophos UTM 為 207.xxx.xxx.xxx 創建 IPsec VPN
VPN 在 sophos 和遠端 172.24.16.200 之間建立了完美的流量。即使從這個它到達網路伺服器也沒有問題。
問題是我們無法從網路伺服器到達遠端 172.24.16.200
我們已經消除了 VPN 或 sophos 的問題,並且在將網路伺服器連接到遠端時都指向失去的路由
我們嘗試添加這樣的靜態路由:
ip route add from 10.14.18.0/24 dev eth1 src 10.14.18.11 table rt2 ip route add default via 10.14.18.1 dev eth1 table rt2
ip 規則從 10.14.18.11/32 表 rt2 添加 ip 規則添加到 10.14.18.11/32 表 rt2
但我們得到一個 RTNETLINK 答案:文件存在於第二個命令中。
有任何想法嗎?謝謝!彌敦道
這可能是一個令人困惑的情況。當我們知道通信涉及成功發送雙向流量時,您怎麼能從一端到另一端進行通信,但反之亦然?但這是我花了幾個小時幫助另一個人的。
這個問題的答案實際上是非常基本的。Sophos 單元正在對流量進行 NAT。當來自遠端 172 VPN 的流量到達您的內部網路時,Sophos 設備將源地址更改為它自己的 (10.14.18.12) 以進行 NAT。Web 伺服器接收來自 Sophos 的流量並回复給 Sophos,Sophos 然後對流量進行 unNAT 並將其發送回隧道的遠端端。一切都很好。
但是,當 Web 伺服器嘗試啟動到遠端 VPN 隧道端點 (172) 的連接時,它沒有到 172.xxx 的路由,並將流量發送到預設網關 (WAN)。
問題有兩個方面。在大多數案例中,Sophos 單元不應該對兩個專用網路之間的流量進行 NAT。並且 10.14 網路上的系統必須有到 (172.xxx) 網路的路由靜態分配(或通過 DHCP 選項 121 或 249)。
此外,您給出的設置靜態路由的範例看起來不正確。您使用了之前未提及的 IP 地址 10.14.18.1 作為網關,並且沒有提及您嘗試訪問的遠端網路。正確的路由命令是:
ip route add 172.16.0.0/12 via 10.14.18.12注意:此命令只是臨時的。
因此,請關閉 NATing 並在 Web 伺服器上指定適當的靜態路由。