1 votes

suman r avatar

Ping depuis le sous-réseau via IPSec

Demandé el 18 de Avril, 2011
Quand la question a-t-elle été
2061 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai mis en place un réseau distribué comme dans la figure ci-dessous. Le sous-réseau x.15.x est un sous-réseau distant, connecté au réseau local interne via un VPN IPsec. Le Firewall a 3 interfaces, une connectée au réseau, une connectée au sous-réseau x.2.x et une connectée au sous-réseau x.3.x.

  1. Lorsque j'envoie un ping à 192.168.3.25 à partir de 192.168.2.10, j'obtiens une réponse.
  2. Lorsque j'essaie d'envoyer un ping à l'adresse 192.168.3.25 sur son adresse IP externe depuis 192.168.15.50, j'obtiens une réponse.

Cependant ;

  1. Quand j'essaie d'envoyer un ping depuis un client sur la connexion IPsec (par ex. 192.168.15.50), j'obtiens un message de type la demande a expiré .

Est-ce que j'ai raté un principe du réseau IPsec ? Comment puis-je faire en sorte qu'il envoie des données au sous-réseau x.3.x ?

Le pare-feu est un pfSense, et les serveurs sont des Windows Server 2008 R2. Le tunnel est un tunnel IPsec à travers l'internet.

enter image description here

Demandé el 18 de Avril, 2011 par suman r

Réponses

Trop de publicités?

2voto

Lawrence avatar
Lawrence Points 203

Il s'agit très probablement d'un problème de routage.

Le pare-feu doit acheminer le trafic du sous-réseau x.15.y vers le tunnel, et il doit acheminer le trafic sortant du tunnel vers les sous-réseaux concernés (cela devrait se faire automatiquement, puisque ces sous-réseaux sont connectés directement).

En outre, le routeur de l'autre côté doit acheminer le trafic des réseaux x.2.y et x.3.y dans le tunnel.

Pour le moment, il semble que le routeur du réseau x.15.y ne le fasse pas. Le délai d'attente se produit parce que le routeur du côté x.15.7 n'a pas de route spécifique et essaie donc d'envoyer les paquets via la route par défaut (c'est-à-dire dans l'Internet public, où ils ne sont pas routables et sont donc perdus).

Répondu el 18 de Avril, 2011 par Lawrence (203 Points )

1voto

tomjedrz avatar
tomjedrz Points 5944

Je soupçonne que, parce que les deux réseaux sont sur des interfaces différentes sur le pare-feu, le sous-réseau x.2.x et le sous-réseau x.3.x nécessiteront des VPN IPSec séparés vers le sous-réseau x.15.x de l'autre côté.

Réponse au commentaire du PO : Donc, si je migre le sous-réseau x.3.x vers la même carte réseau, cela peut-il fonctionner ?

C'est possible, mais je n'en suis pas sûr. Si vous montez les deux IP d'interface sur la même NIC, vous aurez probablement besoin de deux tunnels. Mais si vous augmentez la taille du sous-réseau x.2.x en réduisant le masque de sous-réseau d'un bit (255.255. 254 .0), vous pouvez placer les périphériques x.3.x sur le réseau physique x.2.x. Cela devrait fonctionner tant que vous pouvez mettre à jour le VPN pour qu'il ait le plus petit masque de sous-réseau. Il y aura probablement d'autres considérations, telles que DHCP et la passerelle par défaut pour les périphériques x.3.x. Je soupçonne que la construction d'un deuxième tunnel sera plus propre.

Répondu el 18 de Avril, 2011 par tomjedrz (5944 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X