Shunze 學園 >資訊設備專區 >Cyberoam > 《分享》Cyberoam本身無法透過IPSec連線到另一端的主機 哈囉,還沒有註冊或者登入。請你[註冊|登入]
« 上一篇主題 下一篇主題 » 顯示成列印模式 | 增加到我的最愛
發表新主題 發表回覆
作者
主題
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》Cyberoam本身無法透過IPSec連線到另一端的主機引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方

Cyberoam本身透過IPSec無法連線到另一端的郵件伺服器,
這是順子還在城西時遇到的一個狀況。



兩個網段是透過IPSec串接起來,彼此互通;
Mail Server 172.16.16.123是在172.16.16.0/24的網段中。
Cyberom1的郵件伺服器已設定為172.16.16.123,但發信失敗...

關於Cyberoam無法寄送mail通知的問題,
是因為Cyberoam本機的路由不會走IPSec tunnel,所以在Cyberoam上是Ping不到mail server的ip。

要解決此問題需要執行幾個步驟。

  1. 增加透過IPSec tunnel來連接的目的地IP。
    cyberoam ipsec_route add host 172.16.16.123 tunnelname Test

    172.16.16.123為mail server IP
    Test為IPSec tunnel名稱


  2. 設定Cyberoam連接時的Source NAT。
    set advanced-firewall cr-traffic-nat add destination 172.16.16.123 snatip 192.168.1.254

    172.16.16.123為mail server IP
    192.168.1.254為Cybeorm1的LAN interface IP


  3. 執行以上二個指令後,於Cyberoam1上ping mail server IP,
    如果有ping通,表示cyberoam可以透過mail server 發通知了。



參考資料
How to route Cyberoam initiated traffic ...Sec VPN tunnel?



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2014-11-24, 22:34 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
shunze
工友伯伯


註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2328

shunze 離線
《分享》讓Cyberoam可以透過VPN Tunnel連結到遠端一整個網段引用回覆 編輯/刪除文章 搜尋由  發表的其他文章 回報給版主 IP 位置 回此頁最上方



同上述情境,若想讓Cyberoam本機能透過VPN Tunnel連到遠端一整個網段,而不是單單某一個IP,
那麼可將上述指令稍微修改,將host改為網段net。

cyberoam ipsec_route add net network/netmask tunnelname IPsec-TunnelName
set advanced-firewall cr-traffic-nat add destination network netmask netmask snatip Cyberom-Interface-IP


套用以上情境劇本,對應的指令如下。
cyberoam ipsec_route add net 172.16.16.0/255.255.255.0 tunnelname Test
set advanced-firewall cr-traffic-nat add destination 172.16.16.0 netmask 255.255.255.0 snatip 192.168.1.254


指令套用後,Cyberoam介面IP 192.168.1.254,就可以成功連結到172.16.16.0/24一段整個網段的IP。



♥順子老婆的網拍,請多關照∼

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!




2015-06-02, 17:46 shunze 的個人資料 把 shunze 加入好友列表 發送Email給 shunze 瀏覽 shunze 的網站 MSN : shunze@gmail.com
  « 上一篇主題 下一篇主題 »
發表新主題 發表回覆
跳到:

Powered by: Burning Board 1.1.1 2001 WoltLab GbR