使用隧道接口的 Sophos XG 站点到站点 VPN

网络工程 虚拟专用网 网络安全 隧道 站点到站点 Sophos
2021-07-26 04:22:08

所以我根据这个文件配置Sophos的XG站点到站点VPN: https://docs.sophos.com/nsg/sophos-firewall/18.0/Help/en-us/webhelp/onlinehelp/nsg/sfos /learningContent/VPNCreateRouteBasedVPN.html

但是我遇到了以下问题:SiteA:Branchoffice,LAN 192.168.198.0/24 SiteB:Headoffice,LAN 172.30.0.0/24 如果我从 Site-A ping 到 Site-B,在 ping 时 Sophos-A 上的 tcpdump 会显示这个穿过去:

18:53:04.059527 Port1, IN: IP 192.168.198.244 > 172.30.0.3: ICMP echo request, id 46946, seq 0, length 64
18:53:04.059737 xfrm1, OUT: IP 192.168.198.244 > 172.30.0.3: ICMP echo request, id 46946, seq 0, length 64
18:53:04.069119 xfrm1, IN: IP 172.30.0.3 > 192.168.198.244: ICMP echo reply, id 46946, seq 0, length 64
18:53:04.069193 Port1, OUT: IP 172.30.0.3 > 192.168.198.244: ICMP echo reply, id 46946, seq 0, length 64

如果我从站点 B ping 到站点 A,tcpdump 会在 Sophos-B 上记录以下内容并且 ping 不通过:

18:53:21.509216 Port4, IN: IP 172.30.0.3 > 192.168.198.244: ICMP echo request, id 2025, seq 1, length 64
18:53:21.509354 xfrm1, OUT: IP >WAN-IP< > 192.168.198.244: ICMP echo request, id 2025, seq 1, length 64

为什么从站点 A 到 B 它xfrm1, OUT: IP 192.168.198.244(如预期的那样)而从站点 B 到 A 它是xfrm1, OUT: IP >WAN-IP<

我只是不明白为什么它使用从 B 到 A 的 WAN-IP,但反过来它采用正确的路径?

欢呼

2个回答

站点 B 缺少指向隧道的 192.168.198.0/24 的路由。没有它,数据包会泄漏到 WAN。

您需要在防火墙之间设置静态路由或配置 OSPF(需要“永远在线”的 VPN)。

解决了。Sophos Base 许可证(包括 S2S-VPN 功能)已被暂时暂停。现在一切都按预期进行。

其它你可能感兴趣的问题
上一篇不使用IGP/静态路由时,路由反射器的两个客户端如何相互了解? 下一篇用于 vPC 域上的 Peer-Link 的 Fabric Extender(两台 Nexus 5000 交换机)