如图:对云服务器5.5.5.5的访问以IP白名单形式进行控制。总部出口IP是固定的,一次添加白名单后可持续进行访问。分支机构的出口IP为拨号获取的动态IP,变动频繁,需要反复进行添加。
我的想法是,首先用IPsec VPN在总部及分支机构路由器的LAN网络之间建立隧道,然后再对两台设备的LAN口IP做GRE打通两台设备。做完GRE over IPsec后,我在总部添加路由 "172.16.70.0 255.255.255.0 下一跳 GRE Tunnel"、分支机构添加路由“5.5.5.5 255.255.255.255 下一跳 GRE Tunnel”。总部AF处将GRE Tunnel所在区域防火墙策略全部放通,并且对从GRE Tunnel到防火墙公网出口做了源NAT。
配置后进行测试,从分支机构LAN的设备可以Ping通8.8.8.1。从分支机构LAN设备追踪到5.5.5.5的路由,可以看到第二跳到了8.8.8.1,然后就再也走不通了。 想请教各位,是哪里的配置出了问题,还有什么需要更改?或者说这个需求可以不需要用到GRE,只用IPsec可以实现吗? |