Shunze 學園 (http://www.shunze.info/forum/index.php)
|- Cyberoam (http://www.shunze.info/forum/board.php?boardid=33)
|-- 《分享》Cyberoam本身無法透過IPSec連線到另一端的主機 (http://www.shunze.info/forum/threadid.php?boardid=33&threadid=1857)


作者: shunze 發表時間: 2014-11-24, 22:34:

《分享》Cyberoam本身無法透過IPSec連線到另一端的主機

Cyberoam本身透過IPSec無法連線到另一端的郵件伺服器,
這是順子還在城西時遇到的一個狀況。



兩個網段是透過IPSec串接起來,彼此互通;
Mail Server 172.16.16.123是在172.16.16.0/24的網段中。
Cyberom1的郵件伺服器已設定為172.16.16.123,但發信失敗...

關於Cyberoam無法寄送mail通知的問題,
是因為Cyberoam本機的路由不會走IPSec tunnel,所以在Cyberoam上是Ping不到mail server的ip。

要解決此問題需要執行幾個步驟。

  1. 增加透過IPSec tunnel來連接的目的地IP。
    cyberoam ipsec_route add host 172.16.16.123 tunnelname Test

    172.16.16.123為mail server IP
    Test為IPSec tunnel名稱


  2. 設定Cyberoam連接時的Source NAT。
    set advanced-firewall cr-traffic-nat add destination 172.16.16.123 snatip 192.168.1.254

    172.16.16.123為mail server IP
    192.168.1.254為Cybeorm1的LAN interface IP


  3. 執行以上二個指令後,於Cyberoam1上ping mail server IP,
    如果有ping通,表示cyberoam可以透過mail server 發通知了。



參考資料
How to route Cyberoam initiated traffic ...Sec VPN tunnel?


作者: shunze 發表時間: 2015-06-02, 17:46:

《分享》讓Cyberoam可以透過VPN Tunnel連結到遠端一整個網段



同上述情境,若想讓Cyberoam本機能透過VPN Tunnel連到遠端一整個網段,而不是單單某一個IP,
那麼可將上述指令稍微修改,將host改為網段net。

cyberoam ipsec_route add net network/netmask tunnelname IPsec-TunnelName
set advanced-firewall cr-traffic-nat add destination network netmask netmask snatip Cyberom-Interface-IP


套用以上情境劇本,對應的指令如下。
cyberoam ipsec_route add net 172.16.16.0/255.255.255.0 tunnelname Test
set advanced-firewall cr-traffic-nat add destination 172.16.16.0 netmask 255.255.255.0 snatip 192.168.1.254


指令套用後,Cyberoam介面IP 192.168.1.254,就可以成功連結到172.16.16.0/24一段整個網段的IP。

Powered by: Burning Board 1.1.1 2001 by WoltLab
Taiwan Translation by Achi