 《分享》讓XG可透過IPsec ping到另一端的主機 |       |
XG透過IPsec與遠端防火牆串接後,XG本身無法ping到另一端的IP,這是Cyberoam特有的行為。
要解決這個現象,讓XG可透過IPSec通道ping到另一端的主機,也跟Cyberoam一樣,需要下兩個指令來指定連線路由,
只不過指令跟Cyberoam有一咪咪不同,就是把cyberoam改成system,cr-traffic-nat改為sys-traffic-nat,
其它就一模一樣了∼
導通單一主機
system ipsec_route add host 主機IP tunnelname IPsec通道名稱
set advanced-firewall sys-traffic-nat add destination 主機IP snatip XG-Interface-IP
套用上圖情境的指令如下,
system ipsec_route add host 172.16.16.123 tunnelname Test
set advanced-firewall sys-traffic-nat add destination 172.16.16.123 snatip 192.168.1.254
導通整個網段
system ipsec_route add net network/netmask tunnelname IPsec通道名稱
set advanced-firewall sys-traffic-nat add destination network netmask netmask snatip XG-Interface-IP
套用上圖情境的指令如下,
system ipsec_route add net 172.16.16.0/255.255.255.0 tunnelname Test
set advanced-firewall sys-traffic-nat add destination 172.16.16.0 netmask 255.255.255.0 snatip 192.168.1.254
參考資料
Cyberoam本身無法透過IPSec連線到另一端的主機
♥順子老婆的網拍,請多關照∼
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2017-02-23, 14:37
