網路VPN分流疑問

kevin_lai
kevin_lai 文章數: 6  Freshman Member
First Comment
Nebula智慧雲網路

目前結構是如圖下

集團防火牆連線結構圖-主結構 的副本 (1).jpg

目前想讓中間的分公司節點的Client Device 針對 192.168.1.27透過firewal走VPN連線, 其餘的封包走internet 具體該怎麼達成呢?
原本去查有一個功能是split tunneling
但我的nebula似乎沒看到該功能

幾個提問
1.我是因為未使用Pro or Plus 才無法使用該進階路由功能嗎?
2.或者我該用何種方式才可以達到我的需求呢?
3.如達到需求是否要把firewall remove nebula group呢?

先感謝回覆人員 !

All Replies

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 402  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    請問你的 site-to-site 是否已經建立成功?

    只要 site-to-site 的 local policy 與 remote policy 有設定正確

    防火牆就會去判斷: 如果你的封包要去的目的地是屬於 vpn 的 remote 網段就會自動協助封包往 site-to-site 的 vpn 走

    如果目的地不是 vpn 的 remote policy 網段, 則就走 default gateway 出 internet

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • kevin_lai
    kevin_lai 文章數: 6  Freshman Member
    First Comment
    已編輯 May 28 日

    是的,site-to-site VPN已建立完成

    但local policy and remote policy setting 是在頁面的哪一個項目可以做設定呢?

  • kevin_lai
    kevin_lai 文章數: 6  Freshman Member
    First Comment
    messageImage_1748398348096.jpg
  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 402  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    依據你post 的截圖畫面, 有選擇了 lan1 使用 vpn 這部份有 enable

    這就有設定了 local policy (本地網段)

    接著你要到另外站點(同一組織下)設定, 那個站點的 vpn

    兩端都設定了, Nebula 就會自動連接vpn

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • kevin_lai
    kevin_lai 文章數: 6  Freshman Member
    First Comment

    簡單來說 我只要建好 兩邊firewall 的site to site通道即可
    所謂 local policy 是指主要這邊防火牆的設定
    remote policy是指分公司節點的防火牆設定 我這樣理解沒錯嗎?

    那如果說我在新增第三個網路節點
    是否也是屬於remote policy 用如圖分公司的設定方式即可達成三個節點之間的site to site vpn?

    另外一個疑問是指
    假設今天我想讓所有節點的clinet device 做到分流 其實上述的設定做完
    我先假設192.168.1.27 A紀錄是 se.saint.com
    也建立了一個內部DNS Server
    所有設備也都使用這個DNS Server
    這樣會讓 所有client 連到se.saint.com 都會走到192.168.1.27 也就達成VPN分流了對嗎?

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 402  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好,

    是的, vpn 的 local 與 remote 的意思就如同你所理解的

    下面有一篇文章可以參考

    Nebula 建立 VPN

    另外你說的分流, 實際應用是什麼呢?

    你舉的例子 192.168.1.27 只要有包含在 vpn 網段裡就會讓三個點都可以存取了

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)