Netgear LAN2LAN地址转换

Question

我的问题是：

我已经使用以下参数设置了VPN IPsec LAN2LAN (或site2site)：

本地子网: 10.178.51.64/27

远程子网: 10.174.0.0/16

vpn隧道的出现是正确的，但问题是，我不能平或发送任何数据到远程子网机器。

这是因为我的“真实”子网是192.168.1.0/24，但我的合作伙伴想让我连接到指定的子网。我不能改变我的子网，我能用我的路由器实现这个连接吗?我的路由器是一个NETGEAR ProSafe VPN防火墙FVS338吗？

提前感谢

Answer 1

为了使site2site隧道正常工作，您通常有两个选择来设置隧道。

首先，是基于路线的。您将在两个WAN接口之间创建隧道，然后在防火墙中设置“要到达此LAN子网，请出隧道”的路由。通常，您仍然需要在每一端指定一个策略，但只需要在两个子网之间指定一个允许策略。

二是以政策为基础。您可以在两个WAN接口之间创建隧道，但不是设置新的路由，而是设置策略，并告诉策略在为这两个子网发送通信量时穿越您创建的新VPN隧道。

尽管如此，在您的情况下，如果您指定本地和远程子网，那么这些本地和远程子网必须是要路由/使用的实际子网(在您的例子中是192.168.1.0/24)，否则您将不得不在NAT更改方面进行一些转换--不管您的子网是什么( 10.x) --在内部变成192.x，基本上是双重的，这很棘手。

我的建议是与你的合作伙伴接触并解释这一点，并找出为什么他们不希望你使用192.168.1.0/24作为你的子网。也许他们在这个范围内有另一个本地子网，等等。

不过，在最佳实践中，您确实不应该使用该子网。使用不同的专用局域网subnet...that one只会让您头疼的是人们的家庭网络，当涉及到分裂隧道等。

Answer 2

您的答案实际上取决于双方的网络设备类型，以及远程子网的实际情况。

您的隧道“逻辑”应该如下(不管网络供应商)：

1. 隧道在两个路由器WAN IP之间设置。
2. 隧道在双方都被配置，以知道本地LAN子网和远程LAN子网将在隧道之间路由。通常这不是广域网IP子网，而是路由器/防火墙内部的LAN子网。这可以通过各种方法来完成，例如路由或基于策略的路由或简单的隧道策略。这都取决于您的攻击方法，实际上取决于您使用的网络硬件。

故障排除可以包括来自双方的敲击，以及在实际路由器/防火墙上运行调试命令，以查看流量在哪里停止，以及确保隧道本身出现(同样，命令取决于使用的硬件和IKE选项)。

如果您完全迷路了，我建议您发布一个网络图以及两边使用的硬件。这会帮助这里的人回答这个问题。然而，如果你有你的网络供应商的支持，并需要这个操作尽快，我建议联系他们，让他们与你连接，并通过设置。

Answer 3

谢谢TheCleaner的回答，这是相当不错的，但我想张贴我自己的答案，因为我解决了这个问题，我想分享解决方案。

序言: vpn是由策略设置的。

我的防火墙不是思科，而是netgear(糟糕:)顺便说一下，用这种半专业的路由器设置vpn lan2lan IPSEC可能是很值得考虑的。

正如我说的，我的搭档告诉我:你必须带着10.178.51.64/27子网来到隧道，这是强制性的，我根本帮不了你。

那么，使用NETGEAR ProSafe VPN防火墙FVS338的唯一解决方案是将您的局域网子网设置为相同的vpn策略的本地子网。

所以我刚用面具255.255.255.0把我的局域网设置为10.178.51.64，它很有魅力。

如果我有一个像思科这样的专业路由器，我可以设置一些规则来翻译一些子网的IP，就像我的伙伴告诉我的那样。示例: 192.168.1.2 -> 10.178.51.65

不幸的是，这在我的路由器/防火墙中是不可能的，所以解决这个问题的唯一机会就是改变我的LAN子网。