知識庫
2017-08-14
SBF1703-如何在兩端內網同網段情況下建立IPsec Site to Site VPN
本文適用於以下Sophos Lab產品:
適用Sophos XG Firewall v16
狀況說明︰若兩端內網同網段的環境,例如總部內網網段為192.168.2.0/24,而分支部內網網段也為192.168.2.0/24,這兩點要建立IPsec Site to Site VPN,需要在VPN通道應用NAT才能正常通訊
本文說明如何在兩端內網同網段情況下建立IPsec Site to Site VPN,請參考以下步驟:
1.創建總部IPsec VPN連線
3.驗證兩端同網段的內網流量是否正常傳遞
3-1.如上圖,所以當總部內網電腦192.168.2.100去Ping分支部內網電腦192.168.2.100時[實際上是要Ping 192.168.3.100,因為經由XG的NAT處理轉換過],過程如下說明:
完整過程︰來源192.168.2.100(總部實際IP)->轉換為192.168.1.100(總部NAT IP)--> 目的地192.168.3.100(分支部NAT IP)->轉換為 192.168.2.100(分支部實際IP)
如需更多產品資訊,請與湛揚技術服務中心聯繫,我們將竭誠為您服務!
服務信箱:support@t-tech.com.tw
客服專線:(02)2515-1599
週一至週五 (不含國定假日) 09:00~12:30;13:30~18:00
適用Sophos XG Firewall v16
狀況說明︰若兩端內網同網段的環境,例如總部內網網段為192.168.2.0/24,而分支部內網網段也為192.168.2.0/24,這兩點要建立IPsec Site to Site VPN,需要在VPN通道應用NAT才能正常通訊
本文說明如何在兩端內網同網段情況下建立IPsec Site to Site VPN,請參考以下步驟:
1.創建總部IPsec VPN連線
1-1.使用管理員帳號及密碼登入您總部的XG Firewall網頁管理介面。
1-2.切換功能頁面至”設定” > “VPN” > “IPsec連線”,單擊” 新增” 創建IPsec連線。
1-3.填入”名稱”,以辨識此VPN的用途。
1-4.選擇”連線類型”為”站台對站台”。
1-5.選擇”政策”為”DefaultHeadOffice”(此為總部預設VPN政策)。
1-6.選擇”VPN重新啟動時的動作”為”僅回應”(一般總部為被動連線的一端)。
1-7.填入”預共用(Preshared)金鑰”,此金鑰必需與分支部設備一致。
1-8.於”端點詳細資訊”區塊中,選擇”本機”Wan端介面,並在”遠端”欄位中輸入”*”表示不限制可以跟總部建立VPN連線的IP位址。
1-9.於”網路詳細資訊”區塊中,新增”本機子網路”,此為分支部可透過VPN連線識別的本地內網網段。
1-10.在1-9.步驟的新增視窗中,勾選”NAT本機LAN”,並選擇”NATed LAN”為本地端內網實際使用的網段。
1-11.新增”遠端LAN網路”,此為本地端可透過VPN連線識別的分支部內網網段。
1-12.單擊”儲存”按鈕以完成總部VPN新增。
1-13.點擊剛新增的總部”IPsec連線”如下圖所示紅框處以啟用連線。
提醒︰請確認針對VPN連線所使用的防火牆規則已適當設定,例如VPN to LAN或LAN to VPN的防火牆網路規則。
2.創建分支部IPsec VPN連線
1-2.切換功能頁面至”設定” > “VPN” > “IPsec連線”,單擊” 新增” 創建IPsec連線。
1-3.填入”名稱”,以辨識此VPN的用途。
1-4.選擇”連線類型”為”站台對站台”。
1-5.選擇”政策”為”DefaultHeadOffice”(此為總部預設VPN政策)。
1-6.選擇”VPN重新啟動時的動作”為”僅回應”(一般總部為被動連線的一端)。
1-7.填入”預共用(Preshared)金鑰”,此金鑰必需與分支部設備一致。
1-8.於”端點詳細資訊”區塊中,選擇”本機”Wan端介面,並在”遠端”欄位中輸入”*”表示不限制可以跟總部建立VPN連線的IP位址。
1-9.於”網路詳細資訊”區塊中,新增”本機子網路”,此為分支部可透過VPN連線識別的本地內網網段。
1-10.在1-9.步驟的新增視窗中,勾選”NAT本機LAN”,並選擇”NATed LAN”為本地端內網實際使用的網段。
1-11.新增”遠端LAN網路”,此為本地端可透過VPN連線識別的分支部內網網段。
1-12.單擊”儲存”按鈕以完成總部VPN新增。
1-13.點擊剛新增的總部”IPsec連線”如下圖所示紅框處以啟用連線。
提醒︰請確認針對VPN連線所使用的防火牆規則已適當設定,例如VPN to LAN或LAN to VPN的防火牆網路規則。
2-1.使用管理員帳號及密碼登入您分支部的XG Firewall網頁管理介面。
2-2.切換功能頁面至”設定” > “VPN” > “IPsec連線”,單擊” 新增” 創建IPsec連線。
2-3.填入”名稱”,以辨識此VPN的用途。
2-4.選擇”連線類型”為”站台對站台”。
2-5.選擇”政策”為”DefaultBranchOffice”(此為分支部預設VPN政策)。
2-6.選擇”VPN重新啟動時的動作”為”啟始”(一般分支部為主動連線的一端)。
2-7.填入”預共用(Preshared)金鑰”,此金鑰必需與總部設備一致。
2-8.於”端點詳細資訊”區塊中,選擇”本機”Wan端介面,並在”遠端”欄位中輸入總部Wan端介面IP位址。
2-9.於”網路詳細資訊”區塊中,新增”本機子網路”,此為總部可透過VPN連線識別的本地內網網段。
2-10.在2-9.步驟的新增視窗中,勾選”NAT本機LAN”,並選擇”NATed LAN”為本地端內網實際使用的網段。
2-11.新增”遠端LAN網路”,此為本地端可透過VPN連線識別的總部內網網段。
2-12.單擊”儲存”按鈕以完成分支部VPN新增。
2-13.點擊剛新增的分支部”IPsec連線”如下圖所示紅框處以啟用連線,此時已完成與總部建立的VPN通道,可以看見”連線”處已亮起綠燈。
提醒︰請確認針對VPN連線所使用的防火牆規則已適當設定,例如VPN to LAN或LAN to VPN的防火牆網路規則。
2-2.切換功能頁面至”設定” > “VPN” > “IPsec連線”,單擊” 新增” 創建IPsec連線。
2-3.填入”名稱”,以辨識此VPN的用途。
2-4.選擇”連線類型”為”站台對站台”。
2-5.選擇”政策”為”DefaultBranchOffice”(此為分支部預設VPN政策)。
2-6.選擇”VPN重新啟動時的動作”為”啟始”(一般分支部為主動連線的一端)。
2-7.填入”預共用(Preshared)金鑰”,此金鑰必需與總部設備一致。
2-8.於”端點詳細資訊”區塊中,選擇”本機”Wan端介面,並在”遠端”欄位中輸入總部Wan端介面IP位址。
2-9.於”網路詳細資訊”區塊中,新增”本機子網路”,此為總部可透過VPN連線識別的本地內網網段。
2-10.在2-9.步驟的新增視窗中,勾選”NAT本機LAN”,並選擇”NATed LAN”為本地端內網實際使用的網段。
2-11.新增”遠端LAN網路”,此為本地端可透過VPN連線識別的總部內網網段。
2-12.單擊”儲存”按鈕以完成分支部VPN新增。
2-13.點擊剛新增的分支部”IPsec連線”如下圖所示紅框處以啟用連線,此時已完成與總部建立的VPN通道,可以看見”連線”處已亮起綠燈。
提醒︰請確認針對VPN連線所使用的防火牆規則已適當設定,例如VPN to LAN或LAN to VPN的防火牆網路規則。
3.驗證兩端同網段的內網流量是否正常傳遞
3-1.如上圖,所以當總部內網電腦192.168.2.100去Ping分支部內網電腦192.168.2.100時[實際上是要Ping 192.168.3.100,因為經由XG的NAT處理轉換過],過程如下說明:
完整過程︰來源192.168.2.100(總部實際IP)->轉換為192.168.1.100(總部NAT IP)--> 目的地192.168.3.100(分支部NAT IP)->轉換為 192.168.2.100(分支部實際IP)
如需更多產品資訊,請與湛揚技術服務中心聯繫,我們將竭誠為您服務!
服務信箱:support@t-tech.com.tw
客服專線:(02)2515-1599
週一至週五 (不含國定假日) 09:00~12:30;13:30~18:00
湛揚科技Copyright © 2024. All Rights Reserved.
