作者megasteel (MS)
看板MIS
标题[请益] SITE TO SITE VPN ROUTE TABLE
时间Wed Jul 22 20:46:18 2015
各位网管好
最近因敝公司被要求一件特别的事件,不知有没有人作过... 要求如下
SITE TO SITE VPN
COMPANY A <-----> COMPANY B (後面简称A、B)
这走的是IPSec,两间公司各有网段以VPN TUNNEL互通
因对岸你也知的,有锁一些网站,故被要求需将A往B的ROUTE可以从B出去
将设备上DEFAULT ROUTE改到VPN ROUTE会造成A原先设备的网路异常
(A端设备都要重新规划设定),在不这样改动的情况下只想到用HOST TO SITE
这种方式去走B的路由绕出去
而主管说以前SITE TO SITE可以直接吃B的路由绕出去
A也不用作什麽设定都可以正常运行(其实应该是不行)
所以想问的是,有哪牌子的设备是可以设定VPN ROUTE TABLE的?
在此先感谢各位的帮忙
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 114.26.101.45
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1437569181.A.347.html
1F:→ infosec: 很久以前在network版 我有写一篇 搜寻一下就有 07/22 21:25
2F:→ megasteel: 感谢,虽然有想到JUNIPER的VPN GATEWAY,不过不知老板 07/22 21:41
3F:→ megasteel: 给不给买... 以前有印象JUNIPER好像能这样作,FORTI 07/22 21:42
4F:→ megasteel: 好像也行? 07/22 21:42
5F:→ asdfghjklasd: 想不花钱就能做到,1.要有能力 , 2.要有能力 3.要有 07/22 21:52
6F:→ asdfghjklasd: 能力,不然你是能把裕隆变超跑腻 07/22 21:53
7F:→ megasteel: 本来想自己架一台VPN SERVER,不过考虑後续没人会, 07/22 21:54
8F:→ megasteel: 无法接手的情况下就放弃了,剩下比较二线厂牌的VPN 07/22 21:54
9F:→ megasteel: 又无法设定VPN ROUTE TABLE,想想作罢用HOST TO SITE 07/22 21:55
10F:→ megasteel: 的方式解决算了,反正只有几位大头会这样作 07/22 21:56
11F:推 sssxyz: 你可以摆一台Proxy在另一个Site 然後大家用那个Proxy 07/22 23:02
想尽量少管些设备... 毕竟要管系统、网路、资料库、写程式还得跑OA...
再说,也没打算久待,而且公司的IT完全没观念,用愈多只是麻烦愈多
最重要的一点是,BOSS会四处跑,如果设定忘了改就会被电了
12F:推 tnshoho: FG两端IPSec VPN,FW路由往B丢..可否解决? 07/22 23:03
那回到原点了,要ROUTE OVER VPN才行
现有就是用二线厂牌才达不到这个需求,要花钱买一线厂大概会被否决 囧
13F:推 sssxyz: tunnel都可以指定route 但要看网站这样根本加不完.... 07/22 23:30
14F:→ sssxyz: 加一笔host route to tunnel peer 然後default指过去 07/22 23:32
15F:→ sssxyz: 理论上会通 不过这样好怪 07/22 23:32
目前是VIGOR的设备作VPN,设定ROUTE的选项只有WAN、LAN,没有TUNNEL选项...
如果选用DEFAULT GATEWAY OVER VPN就会把所有流向全导到B上
那A端SERVER的就比较麻烦了,毕竟不是在自己掌握里
16F:推 michaellai: 有没有policy route? 07/23 02:51
那台VIGOR没那种东西可以用 XD
总之是极度阳春的设备
剩下一途是换设备或是挂PROXY,但是後者BOSS离开後忘了改设定会被惨电
17F:推 tnshoho: 问一下是VIGOR哪个型号? 07/23 08:10
VIGOR 3200,韧体3.3.6.1,因为设备不算在我管辖范围内(但要支援设定)
勾选DEFAULT GATEWAY OVER VPN是全部受影响没办法这样作
18F:推 tnshoho: 用原本Routing选项里面指向VPN Tunnel无解? 07/23 14:54
19F:→ tnshoho: 我用2960,单纯给去大陆出差然後PPTP回来当跳板上网 07/23 14:55
20F:→ tnshoho: 至於您公司的架构没试过(因为只有一台Orz) 07/23 14:55
LAN里的STATIC ROUTE吗? 只有WAN、LAN的选项,没有VPN TUNNEL
设定指到WAN就单纯的从A端的WAN走出去不会经VPN
21F:→ tnshoho: VPN Tunnel设一个IP用到LAN上,然後Static Route指过去? 07/23 17:18
最後总结了,因为测太多可能的设定造成A那里有点不爽 XD
现在无法再测试设定,所以目前还是因使用人数及次数少为由
先以HOST TO SITE VPN的方式处理
再此感谢各位的帮忙,谢谢
※ 编辑: megasteel (114.26.98.76), 07/23/2015 18:40:40
22F:推 Usecase: 既然都host-to-site,要不要乾脆用SSLVPN比较省事? 07/23 22:02
23F:→ megasteel: 是用SSL VPN没错,就先这样解了 07/23 23:25