使用 Juniper SSG 5 - LAN 到 LAN VPN 設置路由條目

我有一個兩部分：

我昨天設置了一個 LAN 到 LAN VPN（按照這個 juniper kb 文章）並且它幾乎可以工作，所以我找到了另一個指南並完成了為靜態 IP 地址製作路由條目的過程，之後一切正常。今天早上，我起床了，它不再起作用了。

在進一步檢查設置後，我發現我的路由條目看起來不太正確。在站點 A 的防火牆上，我使用了以下設置：

• 站點 B 的靜態 IP（比如說 12.345.67.89），這是我可以 ping 的 IP 地址
• 子網遮罩 30
• 網關站點-A 的靜態 IP (987.654.​​32.10)
• 介面 e0/0

我顛倒了站點 B 的這些設置，儘管站點 A 的子網不同。

問題是路由出現了不同的IP/網路遮罩條目，在站點 A 設置中，站點 B 的靜態 IP 讀取為 12.345.67.87。同樣，站點 B 的設置將站點 A 的靜態 IP 讀取為：987.654.​​32.08。簡而言之，問題是IP地址的最後兩位數字比我最初輸入的少2。

1. ip地址這樣顯示不同是否正常？
2. 有人對為什麼我的 VPN 不再起作用有任何建議嗎？

注意

僅使用瞻博網路知識庫文章，我就能夠創建一個幾乎可以正常工作的 VPN，其中兩個防火牆都報告一個活動隧道。此外，我的 DHCP 伺服器（一台 Windows 機器）顯示站點 B 上工作站的條目，但我無法 ping 它們，它們也無法瀏覽網際網路、ping 我或訪問其網路驅動器（託管在站點 A）。

兩個站點都使用瞻博網路 SSG5 防火牆

提前感謝您的幫助！

編輯 - 提供更多資訊

從站點 A 上的任何電腦，我可以 ping 站點 B 上的兩個私有 IP 地址：172.16.100.50 是站點 B 防火牆上 bgroup0 的介面 IP 地址，172.16.100.53 是站點的工作站-B 辦公室似乎無法實際定位。

從站點 B 上的任何電腦，ping 站點 A (172.16.10.12) 上的私有 IP 地址都沒有得到回复。

通過 PuTTY 登錄到任一防火牆時，我無法 ping 任何 LAN ip 地址（例如，從站點 A ping 到站點 B 172.16.100.56，從站點 B ping 到站點 A 172.16.10.12），但我可以 ping每個設備的靜態 WAN IP 地址。

我引用的第二篇文章表明我還需要為靜態 IP WAN 地址創建路由，這些是我在 OP 中所指的地址。我使用的網路遮罩是從每個站點的 ISP 獲得的。站點 A 的網路遮罩為 29，站點 B 的網路遮罩為 30

前幾天我沒有回答你的問題嗎？問題被刪除了嗎？

由於遮罩，您創建的 CIDR 條目會以這種方式設置。

如果您放置 /30 的遮罩，那麼從技術上講，第一個遮罩（儘管第二個八位字節無效）應該類似於：

12.0.67.88 - 12.0.67.91，0.88 作為路由/網路，0.89 和 .90 有效主機，0.91 廣播地址。

您需要確保您的子網和路由條目遵循正確的子網劃分。

簡而言之，設置 VPN：

1. 使用兩個 WAN 地址、ike 設置等設置隧道。
2. 設置路由 - 每一端都應該有到遠端端 LAN 子網的路由，網關是隧道
3. 應該設置策略以允許從本地 LAN 子網到遠端 LAN 子網的流量，反之亦然……這應該由 FW 完成。

編輯：

好的，在查看圖表後，這就是我所看到的：

對於隧道本身：

• 看起來不錯。您實際上並不需要代理 ID 設置（至少看起來您有一些具有本地和遠端 IP 範圍的設置），但如果您這樣做，那很好。

對於政策：

• 您應該有兩套政策，一套用於“信任到不信任”，而匹配的雙向政策用於“信任到信任”。您應該為兩個防火牆上的 2 個 LAN 設置策略元素。類似於“佛羅里達區域網路”= 172.16.100.0/24 和“密歇根區域網路”= 172.16.10.0/24。
• 那麼密歇根這邊的策略應該是“TRUST TO UNTRUST” Source = “Michigan LAN”，Destination “Florida LAN”，Service = ANY，Action = TUNNEL，Tunnel = “Florida VPN”，勾選“matching bidirectional policy” ”。這應該在密歇根 SSG5 上創建一個 TRUST TO UNTRUST 和一個 UNTRUST TO TRUST 政策來隧道。您將希望在佛羅里達一側創建相同的內容，這次源為“佛羅里達 LAN”，目標為“密歇根 LAN”，但策略類型相同（操作 = 隧道，隧道 = 密歇根 VPN）

對於路線：

MICHIGAN SSG5（注意：我假設您只有一個 WAN 連結，並且目前預設路由 0.0.0.0 指向網關為 108.245.51.86）：

• trust-vr 應該有一個本地 LAN 的條目，以便知道如何訪問它。確保那裡有一個“172.16.10.0/24”和網關 172.16.10.1，或者至少有一個“C”表示在該 172.16.10.0/24 的協議條目中連接。

FLORIDA SSG5（與密歇根州相同）

• trust-vr 應該有一個本地 LAN 的條目，以便知道如何訪問它。確保那裡有一個“172.16.100.0/24”和網關 172.16.100.50，或者至少有一個“C”表示在該 172.16.100.0/24 的協議條目中連接。

說了這麼多…

1. 您的 WAN ISP 連接不需要靜態路由條目。
2. 我認為您的主要問題歸結為您的佛羅里達 LAN 子網是 172.16.100.0/24 但您的 bgroup1 ip 是 172.16.100.50，它位於該子網的中間，理想情況是它是 172.16.100.1 而不是.50。在雙方，確保工作站預設網關是正確的。對於密歇根一側，它們應全部設置為 172.16.10.1，而在佛羅里達一側，它們應設置為 172.16.100.50。

假設所有 SSG5 vpn、策略和路由條目都是正確的，我敢打賭問題就在那裡，電腦上的預設網關。

引用自：https://serverfault.com/questions/385344