[問答] Juniper SSG5 VPN Tunnel 路由問題

作者itaipei (愛台北)

看板Network

標題[問答] Juniper SSG5 VPN Tunnel 路由問題

時間Mon Aug 28 17:26:24 2017

各位高手大家好, 目前有個問題想跟大家請教, 我分別有A_site& B_site兩個site, A_site跟B_site之間兩台SSG5已建好了VPN Tunnel, 但目前有個需求, A_site 底下的某個Host該怎麼讓這Host走VPN Tunnel從B_site 上internet? 圖示http://i.imgur.com/McpzlGu.png 不知道有沒有高手這樣做過?謝謝! -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.248.108.253 ※ 文章網址: https://www.ptt.cc/bbs/Network/M.1503912386.A.565.html

推 vjuko: pbr? 08/28 20:26

→ chingchen: Host Gateway指向A_Site SSG5，A_Site SSG5 Default指 08/30 19:25

→ deadwood: 透過internet建立的site to site vpn不太可能這樣做 08/30 22:04

→ deadwood: 除非你建立的是GRE tunnel over IPSEC 08/30 22:05

→ deadwood: 至少要5.1以後才支援GRE tunnel 08/30 22:05

→ itaipei: 目前SSG5 都是6.3,試看看d大這個方式GREtunnelover IPSEC 08/31 11:43

→ itaipei: 跟D大請教, GRE tunnel over ipsec完成後, 該怎麼路由? 08/31 11:44

→ itaipei: 透過PBR, 指向tunnel.1 但還是無法從tunnel.1出去 08/31 14:54

推 vjuko: site B policy開了嗎？tracert 卡在…？ 08/31 15:57

→ itaipei: Policy都開了!!routing 不會從Asite往Bsite走. 08/31 17:02

→ itaipei: 目前Asite_lan跟Bsite_lan 一直都可以通. 08/31 17:09

→ deadwood: B側的NAT有加嗎?要走B上網，B要能把A網段IP往外NAT才行 08/31 22:22

→ deadwood: 還有要看SSG需不需要特別設定讓流量從untrust進來又出去 08/31 22:23

→ deadwood: 還有一點要注意就是我說的GRE，是指tunnel要獨立網段 08/31 22:25

→ deadwood: 兩巔的tunnel interface都要設定IP，PBR指向對面tunnel 08/31 22:25

→ deadwood: interface的IP，指介面通常是不可能做得成的 08/31 22:26

推 zongyou: 沒用過Juniper，但以IPSec 而言你可另建一tunnel 192.168 09/08 21:02

→ zongyou: .1.50/32<>0.0.0.0/0，然後建相對應的SNAT policy與firew 09/08 21:02

→ zongyou: all route就可以了 09/08 21:02

→ zongyou: Firewall rule 09/08 21:03

→ itaipei: Z大~~還是不太明瞭, 可以在解說一下?thx 09/15 14:01