Host route Juniper Site to Site VPN Tunnel 上internet

vpn site-to-site juniper gateway routing

ARP 2016-07-20 12:05:49 ‧ 2489 瀏覽

請問各位高手,

小弟自己的LAB有個需求, juniper SSG5*2 site to site vpn tunnel 已建立好了,

但我想要如圖所示, Site A 的某host 可以走VPN tunnel 到 Site B 透由 Site B的ISP出Internet

反之, SiteB 的Juniper 可以設定Untrust VIP port 回到 SiteA的HOST?

那如下圖的架構, 是否可以做到呢?

ARP iT邦新手 5 級 ‧ 2016-07-20 12:10:10 檢舉

http://i.imgur.com/McpzlGu.png

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

做工仔人!

iT邦大師 1 級 ‧ 2016-07-20 13:46:06

應該是做不到.

因為封包移動路徑是由 routing 決定的. B site 的網段並不在 A site 的範圍內.

  所以 routing 無法指到 B site (當然樓主也可以試試 加一段 routing 指到 B site 去,要指的過去才有可能從B site出去 )

VIP 指回 A site 的 host : 也是不行. (可以設定, 但是 port 的顯示是 down :這個我有試)

Ray

iT邦大神 1 級 ‧ 2016-07-20 23:07:44

這是可以的, 很多防火牆都可以辦到, 關鍵技術通常稱為: Policy Route 或是 Source Route, 在 Juniper 的防火牆上, 應該是在 Policy-based Route 的選單裡面做設定.

不過我對 Juniper 的 PBR 設定流程並不熟悉, 無法給您建議, 您可以參考這篇先有簡單的概念: Netscreen Policy Based Routing, 然後再去找手冊研究.

這裡有個比較像你環境的實做例子:

立即登入回答