瞻博网络 SRX320 动态 VPN,无法路由到远程保护资源

网络工程 路由 虚拟专用网 子网 联网 杜松-srx
2021-07-11 16:46:54

使用瞻博网络 SRX320 设置多个 VPN。

SRX320有一个irb接口如下:

  irb {
    unit 0 {
        family inet {
            address 192.168.120.1/24;
        }
    }
}

我已经设置了一个动态 VPN,我通过 JuneOS Pulse 软件连接到它,使用与所有物理连接的设备相同的池:

pool pool1 {
        family inet {
            network 192.168.120.0/24;
            dhcp-attributes {
                name-server {
                    192.168.120.15;
                }
                router {
                    192.168.120.1;
                }
            }

远程资源在此处定义:

dynamic-vpn {
    access-profile dyn-vpn;
    clients {
        all {
            remote-protected-resources {
                192.168.0.0/16;
            }
    ...
    ...

此处设置的策略:

    from-zone Untrust to-zone trust {
        policy dyn-vpn-trust {
            match {
                source-address any;
                destination-address any;
                application any;
            }
            then {
                permit {
                    tunnel {
                        ipsec-vpn dyn-vpn;
                    }
                }
            }
        }

所以当我连接到 dyn-vpn 时:

  • 我可以看到路线正确地传递给我。
  • 我可以 ping 192.168.120.1
  • 无法ping 任何其他 192.168.120.0/24 地址(例如名称服务器、DC 或其他任何地址。
  • 我可以访问 192.168.0.0/16 中的其他所有内容(其他 VPN,例如 192.168.150.1)

如果我将池分配更改为新池并将其分配给 192.168.121.252/30,则我可以 ping 192.168.120.0 内的所有内容,但无法再访问其他 VPN。他们不知道路由,因为该子网没有被路由。我可以将静态作业放入并操纵它,但我觉得我的理解中缺乏一些基本的东西,我想学习。防火墙清楚地知道到我的路由,因为它从 ping 响应到 irb 接口;那么为什么它不会路由任何其他 .120 地址呢?

如果我错过了您需要知道的配置,请告诉我。

1个回答

您分配的子网pool1从 SRX 路由到您的 VPN 隧道 - 它没有桥接到挂起的现有子网irb.1

我怀疑 SRX 有一个主机路由 ( /32) 到您的客户端,这就是为什么它能够路由进出您的其他 VPN 网络和irb.1地址的流量,但192.168.120.0/24子网中的主机将无法到达您。

解决此问题的方法是为您的 VPN 客户端提供一个专用子网(正如您尝试的那样),并使该路由通过您的其他 VPN 可用。

将您的 VPN 客户端 NAT 到192.168.120.0/24子网中的地址也可能有效,但这取决于您的拓扑 - 来自动态 vpn 的流量在穿越区域时可能无法按源 IP 地址正确分类,我似乎记得基于策略的NAT 不久前在 SRX 上被弃用。

其它你可能感兴趣的问题
上一篇流量未通过 Cisco ASA 在 IPsec 中发送 下一篇ISR 4431 IPSec VPN 的高可用性