DotW: 为站点到站点的 IPSec VPN 使用环回接口

在本周的讨论中, 我们突出了用户 "梅里克" 在站点到站点 VPN 配置中使用环回接口所提出的问题。

虽然在环回接口上配置站点到站点 VPN 会带来额外的复杂性, 但有些情况可能值得使用。一个常见的用例是需要将 VPN 接口设置为备用 IP 地址, 而不是外部接口。

建议的配置是确保环回接口与外部接口 (通常称为不信任区域) 位于同一个区域中, 并使环回 IP 地址与外部接口在同一个子网中. 此安装程序允许无缝配置, 几乎等同于在外部接口上配置 VPN。隧道接口应该位于不同的区域中, 这样就可以为隧道内的会话提供更精细的安全策略。

下面, 我将突出显示在不同区域中对内部环回执行 NAT 的不太常见的实现, 以突出显示某些要求:

在此示例中, 环回接口设置为 vpn-ext 区域中的专用 IP 10.2.2.2:

隧道接口设置为 vpn int 区域:

要允许环回接口生成出站和接收入站 VPN 连接, 请创建适当的 NAT 规则: 

并创建适当的安全策略以允许环回接口与 ipsec 对等方和隧道接口通信以连接到内部资源

本地 IKE 网关可以像往常一样配置为静态远程对等方..。

但不需要配置 NAT:

为动态对等方设置远程对等方的配置, 包括 NAT:

远程端的对等标识是必需的, 因为主机接收环回的私有 IP 作为标识参数, 但由于 NAT configurtion, 物理 ip 地址不同。

最后, 可以在不进行任何特殊配置的情况下创建 IPSec 隧道对象:

通过添加路由, 将适当的子网路由到任一侧的隧道:

要查看讨论, 请参阅以下链接:使用环回接口进行站点到站点的 IPSEC VPN

鼓励所有的意见或建议。

感谢阅读 ！

汤姆各地