Каталог Поиск 0 Сравнить 0 Закладки 0 Корзина Войти
+7 (495) 108-0-888 info@ubiquiti.ru
Каталог
+7 (499) 350-36-46 info@ubiquiti.ru
105082, Москва, ул. Фридриха Энгельса, 75с21, БЦ Бауманский ИТКОЛ
Пн - Пт: с 09-00 до 18-00 Сб: с 10-00 до 18-00 Вс: выходной
Форумы: UniFi Protect, UniFi Network, UniFi Access, UniFi Talk, UniFi Drive, UniFi Mobility, UniFi Connect, UniFi Play, Wifiman, Feature-request, Site-manager, Edgemax, airfiber-ltu, unifi-led, unifi-voip, solar, security, link, aircontrol, unifi-video, new-to-unifi, ufiber, unms, Airfiber, Innerspace, ISP-design-center, Airmax, UISP-app, UID, 60GHz, General
Поиск  Пользователи  Правила  Войти
Страницы: 1
RSS
Маршрутизация VPN-клиента к пункту назначения VPN-сайта-к-сайту., wifiman
 
#1
22.02.2025 22:53:00
У меня есть VPN-соединение между офисами, которое направляет трафик на удаленный брандмауэр Palo Alto Networks. VPN-туннель активен, и мы можем получить доступ к удаленной стороне с основной доверенной сети в офисе. Я пытаюсь настроить VPN-соединение для клиентов с NAT, чтобы удаленные клиенты также могли получить доступ к другому концу VPN-туннеля.

Основные параметры:
*   Основной офис: 10.0.10.1/24
*   VPN, удаленная сторона: 172.30.0.1/24
*   VPN-сервер (L2TP) LAN: 192.168.3.0/24

Я не контролирую удаленную сторону, поэтому не могу добавлять маршруты или правила брандмауэра. Весь трафик, направляемый на этот сайт, должен исходить из сети 10.0.10.0/24, чтобы маршрут и правила брандмауэра работали. Пока я не смог придумать политику NAT, которая переводит VPN-сервер так, чтобы он казался исходящим из моей основной доверенной зоны (10.0.10.1/24).

У кого-нибудь есть советы, как это реализовать?
 
 
 
#2
23.02.2025 23:21:00
Понял, спасибо! Кстати, когда я настраивал OpenVPN и Wireguard, вдруг увидел интерфейс VPN-сервера как опцию для NAT Policy. Обрати внимание, что NAT указывает, что мне нужно настроить маршрутизацию на основе политик, чтобы принудительно направлять трафик через туннель. Чтобы настроить PBR, мне нужен IP-адрес туннеля. Думаю, я попробую это прототипировать с помощью VPN-соединения site-to-site Unifi to Unifi и проверю, смогу ли я использовать PBR, чтобы отправлять трафик к NAT Policy и выходить на другом конце, прежде чем обращаться к администраторам PANW, чтобы те что-то поменяли.
 
 
 
#3
23.02.2025 21:56:00
L2TP от Microsoft, Google и других скоро будет устаревшим. Переход с L2TP на Wireguard или OpenVPN не изменит результата, но сделает ваш удаленный доступ намного безопаснее.
 
 
 
#4
23.02.2025 17:51:00
По сути, да, мне нужно, чтобы удаленный клиент мог подключаться к роутеру Unifi и затем получать доступ к концу сети, защищенному файрволом Palo Alto. VPN site-to-site — IPSEC с IKEv2. Могу настроить Wireguard или OpenVPN, если это будет работать.
 
 
 
#5
23.02.2025 05:16:00
Это то, что ты пытаешься сделать? Если да, то это не поддерживается. [Удалённый L2TP-клиент] <---> [L2TP-сервер (UniFi Router) IPsec S-2-S] <----> [IPsec S-2-S (Palo Alto Router)]. Ты не указал тип S-2-S VPN, но я предположу, что это IPsec S-2-S. Переход от L2TP был бы хорошей идеей.
 
 
 
Страницы: 1
Читают тему (гостей: 1)