使用隧道接口的Sophos XG站点间VPN

Question

因此，我已经根据这个文档：https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos/learningContent/VPNCreateRouteBasedVPN.html配置了一个搜狐XG站点到站点vpn。

但我仍然面临以下问题: SiteA: Branchoffice，LAN 192.168.198.0/24 SiteB: Headoffice，LAN 172.30.0.0/24如果我从站点A到站点B，tcpdump on Sophos A显示这一点，而ping通过：

18:53:04.059527 Port1, IN: IP 192.168.198.244 > 172.30.0.3: ICMP echo request, id 46946, seq 0, length 64
18:53:04.059737 xfrm1, OUT: IP 192.168.198.244 > 172.30.0.3: ICMP echo request, id 46946, seq 0, length 64
18:53:04.069119 xfrm1, IN: IP 172.30.0.3 > 192.168.198.244: ICMP echo reply, id 46946, seq 0, length 64
18:53:04.069193 Port1, OUT: IP 172.30.0.3 > 192.168.198.244: ICMP echo reply, id 46946, seq 0, length 64

如果我从Site到Site进行ping操作，tcpdump记录了以下有关SO磷-B的内容，而ping没有通过：

18:53:21.509216 Port4, IN: IP 172.30.0.3 > 192.168.198.244: ICMP echo request, id 2025, seq 1, length 64
18:53:21.509354 xfrm1, OUT: IP >WAN-IP< > 192.168.198.244: ICMP echo request, id 2025, seq 1, length 64

为什么从站点A到B它是xfrm1, OUT: IP 192.168.198.244 (如预期的那样)而从Site到A它是xfrm1, OUT: IP >WAN-IP<

我只是不明白为什么它使用广域网-IP从B到A，但反过来，它采取正确的路径？

谢尔茨

Answer 1

解决了。Sophos基本许可证(包括S2S-VPN功能)已暂时中止。现在一切都如期而至。

Answer 2

B站错过了192.168.198.0/24号指向隧道的路线。如果没有它，数据包就会泄漏给广域网。

您需要在防火墙之间设置静态路由或配置OSPF (需要“始终打开”VPN)。