Shunze 學園 - 《分享》Cyberoam本身無法透過IPSec連線到另一端的主機

Shunze 學園 >資訊設備專區 >Cyberoam > 《分享》Cyberoam本身無法透過IPSec連線到另一端的主機

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》Cyberoam本身無法透過IPSec連線到另一端的主機

Cyberoam本身透過IPSec無法連線到另一端的郵件伺服器，
這是順子還在城西時遇到的一個狀況。

兩個網段是透過IPSec串接起來，彼此互通；
Mail Server 172.16.16.123是在172.16.16.0/24的網段中。
Cyberom1的郵件伺服器已設定為172.16.16.123，但發信失敗...

關於Cyberoam無法寄送mail通知的問題，
是因為Cyberoam本機的路由不會走IPSec tunnel，所以在Cyberoam上是Ping不到mail server的ip。

要解決此問題需要執行幾個步驟。

增加透過IPSec tunnel來連接的目的地IP。

cyberoam ipsec_route add host 172.16.16.123 tunnelname Test

172.16.16.123為mail server IP
Test為IPSec tunnel名稱
設定Cyberoam連接時的Source NAT。

set advanced-firewall cr-traffic-nat add destination 172.16.16.123 snatip 192.168.1.254

172.16.16.123為mail server IP
192.168.1.254為Cybeorm1的LAN interface IP
執行以上二個指令後，於Cyberoam1上ping mail server IP，
如果有ping通，表示cyberoam可以透過mail server 發通知了。

參考資料
How to route Cyberoam initiated traffic ...Sec VPN tunnel?

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2014-11-24, 22:34

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》讓Cyberoam可以透過VPN Tunnel連結到遠端一整個網段

同上述情境，若想讓Cyberoam本機能透過VPN Tunnel連到遠端一整個網段，而不是單單某一個IP，
那麼可將上述指令稍微修改，將host改為網段net。

cyberoam ipsec_route add net network/netmask tunnelname IPsec-TunnelName
set advanced-firewall cr-traffic-nat add destination network netmask netmask snatip Cyberom-Interface-IP

套用以上情境劇本，對應的指令如下。

cyberoam ipsec_route add net 172.16.16.0/255.255.255.0 tunnelname Test
set advanced-firewall cr-traffic-nat add destination 172.16.16.0 netmask 255.255.255.0 snatip 192.168.1.254

指令套用後，Cyberoam介面IP 192.168.1.254，就可以成功連結到172.16.16.0/24一段整個網段的IP。

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2015-06-02, 17:46