iT邦幫忙

0

同時運作2個VPN的路由問題

  • 分享至 

  • xImage

各位大大好:
我有2個VPN,
我的網路結構圖里紅色連接線是有外部IP, 其他都是私有IP.

  1. 我在router1有設定IPSEC VPN with DDNS,因為4G router 是動態IP. 我在router2是有固定外部IP, 也是有設定vpn通道互相對照。(兩邊都有 NAT Trasversal)
  2. 現在我有一臺電腦在 192.168.222.0/24,並且安裝一個software : Cisco VPN client. 我使用remote access VPN 並且有 split tunnel.

remote VPN 是會連接到遠端 ASA, 不是在router2. 在ASA的網段10.1.2.0/24.
而router1 和 router2 是一對的,都有IPsec tunnel的設定。

而我有一台電腦在 192.168.222.0/24,當他同時使用remote VPN 和 IPsec tunnel 時,只有remote VPN可以通,因為ASA會發一個 IP 給我的電腦,那我就可以讀取 10.1.2.0/24 而不能讀取10.1.10.0/24

現在問題來了,我想讓電腦在 (192.168.222.0/24)同時連接2個VPN,都是可以正常走到各自的網段,但是我失敗了。

小弟初學設定VPN, 目前VPN都可以獨自運作,可是合在一起就不行了。
煩請大大幫忙協助,是我的設計問題,還是根本就行不通。

http://ithelp.ithome.com.tw/upload/images/20161207/200859226G9j8DO9PN.jpg

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
做工仔人!
iT邦大師 1 級 ‧ 2016-12-07 17:21:14

解決問題的方面:
要讓10.1.10.0/24網段的設備知道: 當有要去 192.168.222.0 的封包要往 10.1.2.XXX 送.(就是 ROUTER 2 的IP) .
這個設定最好是設在: 10.1.10.0 與 10.1.2.0 介接的設備上.如L3 switch 之類.
在192.168.222.0 的router 1 上也要設定要去 10.1.10.0/24 的封包走向.(就是要走 vpn 到router 2去)

看更多先前的回應...收起先前的回應...
super1ray iT邦新手 5 級 ‧ 2016-12-07 18:10:45 檢舉

感謝您的回復。我更新了圖片,這樣應該會更明白。
我的目的希望一台電腦在 192.168.222.0/24網段,可以同時讀取10.1.10.0/24 和 10.1.2.0/24

個人認為比較可能的解決方式:
撥通後在192.168.222.0 的電腦上加 STATIC ROUTE ,將要去10.1.10.0 的封包往 ROUTER 1 走.
因為當電腦撥上 ASA 後會取得10.1.2.0/24的IP , 同時GW 也會改為10.1.2.XXX .系統的 ROUTING TABLE 會變成:
192.168.222.0/24 :是內部所以不用GW , 其他的 0.0.0.0/0 就走10.1.2.XXX 這個GW . 當然就不通.
解決方式就是加一條 ROUTING : 要去 10.1.10.0 /24 的封包往 ROUTER 1 送.
而且這個是只能在92.168.222.0 的電腦一台一台的加,可不可以設定在ASA的設備上,這部份我不清楚(因為我不會ASA的設備).

super1ray iT邦新手 5 級 ‧ 2016-12-08 09:27:14 檢舉

感謝您的回復,今晚下班我會來試試看。
我會在上來報告結果。

super1ray iT邦新手 5 級 ‧ 2016-12-15 15:59:10 檢舉

大大您好, 我在windows add route 10.1.10.0 netmask 255.255.255.0 192.168.1.1 還是不行。哭哭了我

請先做一些測試:

  1. 在不撥接ASA 的狀況下,可不可以連到10.1.10.0/24 的電腦?
    如果可以連到.請先用 ROUTE PRINT 將 IPV4 的路由狀況記錄下來.
    如果可以也用 TRACERT 10.1.10.XXX 來記錄TRACE 的路徑.
  2. 先撥通ASA後也是用 ROUTE PRINT 看二次的 IPV4 ROUTING 差在那裡 . 看可不可以用 ROUTE ADD 的方式將所缺的 ROUTING 加上去.
    一樣也可以用 TRACERT 的方式來驗證二次的差異.

我要發表回答

立即登入回答