Маршрутизация между VPN и сетью
Ferzin
Публикаций: 5 Freshman Member
Раздел: Техническая поддержка
Доброго всем времени суток! Помогите решить вопрос с маршрутизацией. Сеть настроена и работает по следующей схеме:
Из сети 172.16.0.0/23 доступны все подсети, 172.16.1.4 пингует и 172.16.28.2 и 172.16.100.1;
Удаленный хост пингует только хост в сети "А", хосты в сети "В" ему недоступны и наоборот, хосту в сети "В" доступен хост в сети "А", а вот к удаленному хосту пинг не проходит.
На USG-20 прописал маршрут в 172.16.100.0 через установленный Site-To-Site туннель, и аналогично на FLEX, маршрут в подсеть 172.16.28.0 заворачивает трафик в тот же Site-To-Site туннель. Помнится, в ранних прошивках была возможность выбора в свойствах зоны Block Intra-Zone Traffic, сейчас её нет.
Возможно на USG организовать доступ из 172.16.100.0/24 в 172.16.28.0/24, при условии, что L2TP VPN соединение будет устанавливаться к FLEX?
Из сети 172.16.0.0/23 доступны все подсети, 172.16.1.4 пингует и 172.16.28.2 и 172.16.100.1;
Удаленный хост пингует только хост в сети "А", хосты в сети "В" ему недоступны и наоборот, хосту в сети "В" доступен хост в сети "А", а вот к удаленному хосту пинг не проходит.
На USG-20 прописал маршрут в 172.16.100.0 через установленный Site-To-Site туннель, и аналогично на FLEX, маршрут в подсеть 172.16.28.0 заворачивает трафик в тот же Site-To-Site туннель. Помнится, в ранних прошивках была возможность выбора в свойствах зоны Block Intra-Zone Traffic, сейчас её нет.
Возможно на USG организовать доступ из 172.16.100.0/24 в 172.16.28.0/24, при условии, что L2TP VPN соединение будет устанавливаться к FLEX?
0
Accepted Solution
-
Спасибо за подтверждение. В этом случае это известная проблема связанная с тем, что в динамический туннель нельзя направлять трафик используя политики маршрутизации. Маршрутизация в туннель работает строго согласно политикам локальной и удаленной сетей и отбрасывает все пакеты не соответствующие этим политикам . Для реализации вашего сценария в настройках туннеля USG FLEX 200 нужно увеличить размер сети таким образом, чтобы в нее попадали обе сети: 172.16.0.0/23 и 172.16.100.0/24, например, 172.16.0.0/16.5
All Replies
-
Здравствуйте.
Верным ли будет мое предположение, что туннель Site-to-Site между USG20 и USG Flex на самом деле типа Site-to-Site Dynamic?0 -
Здравствуйте.
Вы совершенно правы - Site-to-Site Dynamic.0 -
Спасибо за подтверждение. В этом случае это известная проблема связанная с тем, что в динамический туннель нельзя направлять трафик используя политики маршрутизации. Маршрутизация в туннель работает строго согласно политикам локальной и удаленной сетей и отбрасывает все пакеты не соответствующие этим политикам . Для реализации вашего сценария в настройках туннеля USG FLEX 200 нужно увеличить размер сети таким образом, чтобы в нее попадали обе сети: 172.16.0.0/23 и 172.16.100.0/24, например, 172.16.0.0/16.5
-
Zyxel_Andrew said:в настройках туннеля USG FLEX 200 нужно увеличить размер сети таким образом, чтобы в нее попадали обе сети: 172.16.0.0/23 и 172.16.100.0/24, например, 172.16.0.0/16.
Вопрос не по данной теме: пользователи после перехода с USG20w на FLEX200 столкнулись с проблемой при подключении по SSL - соединение устанавливается не с 1-го раза, может с 3-го, а может и с 6-го, после всё работает стабильно. На USG20 ничего подобного не было, соединение подималось с первого раза. А чём может быть проблема?
0 -
Здравствуйте.
Спасибо за подтверждение решении проблемы.
По новому вопросу могу попросить Вас открывать новую тему если новый вопрос не относится к данной?0