Vpn

使用 Juniper SSG 5 - LAN 到 LAN VPN 設置路由條目

  • May 3, 2012

我有一個兩部分:

我昨天設置了一個 LAN 到 LAN VPN(按照這個 juniper kb 文章)並且它幾乎可以工作,所以我找到了另一個指南並完成了為靜態 IP 地址製作路由條目的過程,之後一切正常。今天早上,我起床了,它不再起作用了。

在進一步檢查設置後,我發現我的路由條目看起來不太正確。在站點 A 的防火牆上,我使用了以下設置:

  • 站點 B 的靜態 IP(比如說 12.345.67.89),這是我可以 ping 的 IP 地址
  • 子網遮罩 30
  • 網關站點-A 的靜態 IP (987.654.​​32.10)
  • 介面 e0/0

我顛倒了站點 B 的這些設置,儘管站點 A 的子網不同。

問題是路由出現了不同的IP/網路遮罩條目,在站點 A 設置中,站點 B 的靜態 IP 讀取為 12.345.67.87。同樣,站點 B 的設置將站點 A 的靜態 IP 讀取為:987.654.​​32.08。簡而言之,問題是IP地址的最後兩位數字比我最初輸入的少2。

  1. ip地址這樣顯示不同是否正常?
  2. 有人對為什麼我的 VPN 不再起作用有任何建議嗎?

注意

僅使用瞻博網路知識庫文章,我就能夠創建一個幾乎可以正常工作的 VPN,其中兩個防火牆都報告一個活動隧道。此外,我的 DHCP 伺服器(一台 Windows 機器)顯示站點 B 上工作站的條目,但我無法 ping 它們,它們也無法瀏覽網際網路、ping 我或訪問其網路驅動器(託管在站點 A)。

兩個站點都使用瞻博網路 SSG5 防火牆

提前感謝您的幫助!

編輯 - 提供更多資訊

從站點 A 上的任何電腦,我可以 ping 站點 B 上的兩個私有 IP 地址:172.16.100.50 是站點 B 防火牆上 bgroup0 的介面 IP 地址,172.16.100.53 是站點的工作站-B 辦公室似乎無法實際定位。

從站點 B 上的任何電腦,ping 站點 A (172.16.10.12) 上的私有 IP 地址都沒有得到回复。

通過 PuTTY 登錄到任一防火牆時,我無法 ping 任何 LAN ip 地址(例如,從站點 A ping 到站點 B 172.16.100.56,從站點 B ping 到站點 A 172.16.10.12),但我可以 ping每個設備的靜態 WAN IP 地址。

我引用的第二篇文章表明我還需要為靜態 IP WAN 地址創建路由,這些是我在 OP 中所指的地址。我使用的網路遮罩是從每個站點的 ISP 獲得的。站點 A 的網路遮罩為 29,站點 B 的網路遮罩為 30

前幾天我沒有回答你的問題嗎?問題被刪除了嗎?

由於遮罩,您創建的 CIDR 條目會以這種方式設置。

如果您放置 /30 的遮罩,那麼從技術上講,第一個遮罩(儘管第二個八位字節無效)應該類似於:

12.0.67.88 - 12.0.67.91,0.88 作為路由/網路,0.89 和 .90 有效主機,0.91 廣播地址。

您需要確保您的子網和路由條目遵循正確的子網劃分。

簡而言之,設置 VPN:

  1. 使用兩個 WAN 地址、ike 設置等設置隧道。
  2. 設置路由 - 每一端都應該有到遠端端 LAN 子網的路由,網關是隧道
  3. 應該設置策略以允許從本地 LAN 子網到遠端 LAN 子網的流量,反之亦然……這應該由 FW 完成。

編輯:

好的,在查看圖表後,這就是我所看到的:

對於隧道本身:

  • 看起來不錯。您實際上並不需要代理 ID 設置(至少看起來您有一些具有本地和遠端 IP 範圍的設置),但如果您這樣做,那很好。

對於政策:

  • 您應該有兩套政策,一套用於“信任到不信任”,而匹配的雙向政策用於“信任到信任”。您應該為兩個防火牆上的 2 個 LAN 設置策略元素。類似於“佛羅里達區域網路”= 172.16.100.0/24 和“密歇根區域網路”= 172.16.10.0/24。
  • 那麼密歇根這邊的策略應該是“TRUST TO UNTRUST” Source = “Michigan LAN”,Destination “Florida LAN”,Service = ANY,Action = TUNNEL,Tunnel = “Florida VPN”,勾選“matching bidirectional policy” ”。這應該在密歇根 SSG5 上創建一個 TRUST TO UNTRUST 和一個 UNTRUST TO TRUST 政策來隧道。您將希望在佛羅里達一側創建相同的內容,這次源為“佛羅里達 LAN”,目標為“密歇根 LAN”,但策略類型相同(操作 = 隧道,隧道 = 密歇根 VPN)

對於路線:

MICHIGAN SSG5(注意:我假設您只有一個 WAN 連結,並且目前預設路由 0.0.0.0 指向網關為 108.245.51.86):

  • trust-vr 應該有一個本地 LAN 的條目,以便知道如何訪問它。確保那裡有一個“172.16.10.0/24”和網關 172.16.10.1,或者至少有一個“C”表示在該 172.16.10.0/24 的協議條目中連接。

FLORIDA SSG5(與密歇根州相同)

  • trust-vr 應該有一個本地 LAN 的條目,以便知道如何訪問它。確保那裡有一個“172.16.100.0/24”和網關 172.16.100.50,或者至少有一個“C”表示在該 172.16.100.0/24 的協議條目中連接。

說了這麼多…

  1. 您的 WAN ISP 連接不需要靜態路由條目。
  2. 我認為您的主要問題歸結為您的佛羅里達 LAN 子網是 172.16.100.0/24 但您的 bgroup1 ip 是 172.16.100.50,它位於該子網的中間,理想情況是它是 172.16.100.1 而不是.50。在雙方,確保工作站預設網關是正確的。對於密歇根一側,它們應全部設置為 172.16.10.1,而在佛羅里達一側,它們應設置為 172.16.100.50。

假設所有 SSG5 vpn、策略和路由條目都是正確的,我敢打賭問題就在那裡,電腦上的預設網關。

引用自:https://serverfault.com/questions/385344