Un tunnel VPN permet-il uniquement l’accès à un seul sous-réseau ? Je ne comprends pas vraiment ce que je fais wrong.
Le tunnel est actif, et je ne peux pinger que les hôtes sur le sous-réseau 10.34.143.0/24, et je n’obtiens aucune réponse lorsque je ping le sous-réseau 10.210.150.0/24. Cependant, je reçois une réponse lorsque je ping la passerelle (10.210.150.100).
J’ai configuré des routes statiques pour les deux réseaux, et elles semblent être configurées de la même manière. Le tunnel, ainsi que les deux sous-réseaux, se trouvent dans la même zone de sécurité.
Des suggestions sur où rechercher ? Le trafic passe par le tunnel, je ne reçois simplement pas de réponses.
Merci !
Vous pouvez certainement passer par un tunnel vers un sous-réseau puis vers un autre qui n’est pas directement connecté.
Si cela ne fonctionne pas, il s’agit d’un problème de routage, pas de VPN.
Commencez par dessiner votre réseau.
Regardez les logs de trafic et vérifiez que :
- vos paquets sortent via l’interface du tunnel prévue
- le pare-feu les autorise à circuler
faites un :
show routing route
pour moi. Aussi, de l’autre côté du tunnel, selon l’appareil, publiez la table de routage. Si elle est très grande, ne publiez que les réseaux en question. Si le trafic expire, c’est probablement un problème de routage. Probablement du côté distant en envoyant vers sa route par défaut (je suppose que vous utilisez un routage statique). Il faudrait utiliser un routage dynamique pour éviter ce genre de problème.
Peut-être un traceroute des deux côtés…
Dans quelle zone est le tunnel ?
La configuration VPN de PAN est une belle chose.
Le vrai avantage est dans la séparation entre la création du tunnel et le routage vers un tunnel.
Certains désignent cela comme un VPN explicite ou VPN basé sur un tunnel. Tous les VPN PAN sont basés sur un tunnel. La configuration ID de proxy est principalement utile pour interagir avec des appareils VPN implicites/basés sur des politiques comme Cisco ASA, CheckPoint ou Fortinet.
Si vous contrôlez les deux côtés du tunnel, vous pouvez définir les Proxy IDs dans la configuration du tunnel IPSec sur All Zeros (0.0.0.0 / 0.0.0.0) pour local et distant. Ensuite, il suffit de définir des routes statiques pour tout ce que vous souhaitez faire passer dans le tunnel.
Je recommande fortement de surcharger la politique inter-zone par défaut pour la journaliser. Par défaut, elle bloque, mais ne journalise pas ; vous ne pouvez donc pas voir ce qui n’est pas autorisé.
Dans la surveillance du trafic/logs unifiés, exposez l’interface de sortie/Egress, l’interface entrante/Ingoing, les colonnes de paquets envoyés et reçus. Cela vous aidera à déterminer si vous avez un problème de routage, dans le PAN ou dans un routeur interne.
Si vous êtes contraint de définir des Proxy IDs granulaire, gardez à l’esprit que vous devez définir toutes les combinaisons nécessaires pour la phase 2 (tunnel IPSec).
Questions :
Quelle version du logiciel utilisez-vous ?
Quel est le fournisseur de pare-feu pour le site A et le site B ? Je suis conscient de nombreux problèmes d’interopérabilité avec des pare-feu non PAN.
À quoi ressemblent vos routes statiques ?