NAT 后面的站点到站点 IPSec 隧道

网络工程 虚拟专用网 纳特
2021-07-04 03:19:21

如果这个问题不适合这里,请原谅我。我有一种情况,我需要在两个办公室之间连接 Site-to-Site VPN,但公司规模很小,而且是一家预算非常紧张的初创公司。问题是这两个办公室只有一个静态公共 IP。办公室中的路由器没有 VPN 功能,但是我可以从网络中对单个设备进行 NAT/PAT,以及添加额外的静态路由。

我可以在 NAT 后面创建站点到站点隧道吗?我想部署两个 PFsense VM 并使用它们来创建 IPSec 隧道?欢迎任何其他建议,例如带有 Openswan/Strongswan 等的 Linux 机器。

到目前为止,我的经验主要是在 Cisco、Palo Alto、Sonicwall 等方面,而我对这些 OpenVPN 解决方案的经验很少,所以如果可能的话,我一直在徘徊?

网络图的简要概述: NAT 图背后的 IPSec

1个回答

只要您可以在路由器上对所需的协议和端口(见下文)进行NAT,您就可以使用任何支持NAT 穿越(NAT-T) 的VPN 解决方案来建立 IPSEC 隧道(如 Zac67 所评论)

pfSense 确实支持 NAT-T,所以你很高兴。

正如您已经发现的,OpenVPN 在这种情况下很常用,因为它对 NAT 非常友好,而且 pfSense 也支持它。

对于IPSEC,需要打开/转发/PAT如下:

  • UDP 500
  • UDP 4500
  • 静电除尘器

某些接入路由器具有转发 IPSEC 数据包的特定功能。其他人根本无法转发 ESP,在这种情况下,通常可以使用 DMZ 选项(将所有传入流量转发到给定的内部主机)。

其它你可能感兴趣的问题
上一篇如何删除路由器上的所有 OSPF 设置? 下一篇无法在逻辑系统中分配请求的地址