检查点中的 IPsec VPN 路由

网络工程 虚拟专用网 ipsec 检查点
2022-02-14 18:26:15

我创建了一个从站点 A(思科)到站点 B(检查点 R77.20)的 ipsec VPN。在站点 B,我应用了静态 1-1 NAT:ipx --ipy

隧道是活的并且连接起来;我可以从站点 A 远程登录我的站点 B 系统;但无法从站点 B 远程登录站点 A 系统。

所以我检查了站点 B 的 Checkpoint 防火墙,发现来自 ipy 的流量通过防火墙策略,而不是 VPN 策略;也不是 ipx 的源 NAT。

那么基于策略的 VPN 是否需要检查点中的任何静态路由?源 NAT 策略不起作用的任何具体原因?

1个回答

我们发现了问题:在VPN上应用SNAT时,我们需要在隧道中添加真实IP和本地网络的NAT IP。只有这样 SNAT 规则才能在 LAN 到 VPN 流量中起作用。

其它你可能感兴趣的问题
上一篇2台直连网络ID相同但子网掩码不同的PC可以通话吗? 下一篇为什么 TCP traceroute 映射会跳过许多路由器?