Wsparcie

Wróć do listy

VPN hub and spoke

Standardowo po nawiązaniu połączenia VPN klient ma dostęp do zdalnych zasobów np. 192.168.1.X, ale nie ma dostępu do pozostałych podsieci podłączonych przez tunele do serwera VPN.
Jednym z rozwiÄ…zaÅ„ jest utworzenie tuneli każdy z każdym (topologia siatki), lecz wymaga to wiÄ™kszego nakÅ‚adu pracy oraz przy wielu lokalizacjach może okazać siÄ™ niemożliwe, gdyż routery wspierajÄ… okreÅ›lonÄ… liczbÄ™ jednoczesnych tuneli VPN.

Poniższy przykÅ‚ad bazuje na Hub and spoke (topologia gwiazdy), aby przez jeden tunel z serwerem VPN (Hub) uzyskać dostÄ™p do zasobów pozostaÅ‚ych klientów VPN (Spokes).
NiewÄ…tpliwym plusem takiego rozwiÄ…zania jest Å‚atwość konfiguracji oraz wykorzystywanie tylko jednego tunelu (szczególnie istotne w najniższych modelach Vigor, które wspierajÄ… 2 tunele VPN).
Minusem jest dodatkowe obciążenie łącza urządzenia centralnego.

Spis treści:

1. VPN LAN-LAN
Metoda 1 – trasa statyczna
Metoda 2 – supersieć
Metoda 3 – trasa domyÅ›lna

2. VPN Host-LAN
Metoda 1 – trasa statyczna
Metoda 2 – supersieć
Metoda 3 – trasa domyÅ›lna

1. VPN LAN-LAN

Serwer VPN Hub:
– WAN: 1.1.1.1
– LAN: 192.168.1.1/24
Klient VPN Spoke 1:
– WAN: 2.2.2.2
– LAN: 192.168.2.1/24
Klient VPN Spoke 2:
– WAN: 3.3.3.3
– LAN: 192.168.3.1/24

Metoda 1 – trasa statyczna przez VPN

Serwer VPN nie wymaga dodatkowych tras statycznych, gdyż w swojej tabeli routingu ma on wszystkie podsieci osiÄ…galne przez VPN.

Klient VPN Spoke 1 – dodaj odpowiedniÄ… trasÄ™ statycznÄ… w profilu VPN (w omawianym przykÅ‚adzie 192.168.3.0/24)


Klient VPN Spoke 2 – dodaj odpowiedniÄ… trasÄ™ statycznÄ… w profilu VPN (w omawianym przykÅ‚adzie 192.168.2.0/24)

Metoda 2 – supersieć (agregacja adresów)

Jeśli posiadasz dużą liczbę oddziałów zaadresowanych według schematu 192.168.X.1 /24 to zamiast dodawać osobne trasy statyczne możesz użyć supersieci (agregacji adresów) np. 192.168.0.0 /16.

Serwer VPN wymaga modyfikacji maski lokalnej podsieci jeśli używasz IPsec.
Wynikiem nałożenia maski 255.255.0.0 na adres 192.168.1.1 jest 192.168.0.0.

Klient VPN Spoke 1 – zmodyfikuj adresacjÄ™ oraz maskÄ™ zdalnej podsieci w profilu VPN (w omawianym przykÅ‚adzie 192.168.0.0/16)
Klient VPN Spoke 2 – zmodyfikuj adresacjÄ™ oraz maskÄ™ zdalnej podsieci w profilu VPN (w omawianym przykÅ‚adzie 192.168.0.0/16).

Metoda 3 – trasa domyÅ›lna

Serwer VPN nie wymaga dodatkowych tras statycznych, jak również nie wymaga supersieci.
Klient VPN Spoke 1 – zaznacz opcjÄ™ Change default route to this VPN tunnel, aby skierować caÅ‚y ruch (również do Internetu) przez tunel
W WAN >> General Setup tylko jeden WAN może być w trybie Always on.
Klient VPN Spoke 2 – zaznacz opcjÄ™ Change default route to this VPN tunnel, aby skierować caÅ‚y ruch (również do Internetu) przez tunel
W WAN >> General Setup tylko jeden WAN może być w trybie Always on.

2. VPN Host-LAN

Serwer VPN Hub:
– WAN: 1.1.1.1
– LAN: 192.168.1.1/24
Klient VPN Spoke 3:
– IP karty sieciowej 192.168.4.10
– IP interfejsu VPN: 192.168.1.10

Serwer VPN nie wymaga dodatkowych tras statycznych, gdyż w swojej tabeli routingu ma on wszystkie podsieci osiÄ…galne przez VPN.

Klient VPN Spoke 1 wymaga dodatkowych wpisów w tabeli routingu – użyj jednej z metod opisanych w 1. VPN LAN-LAN.

Klient VPN Spoke 2 wymaga dodatkowych wpisów w tabeli routingu – użyj jednej z metod opisanych w 1. VPN LAN-LAN.

Metoda 1 – trasa statyczna

Serwer VPN nie wymaga modyfikacji ustawieÅ„, gdyż w swojej tabeli routingu ma on wszystkie podsieci osiÄ…galne przez VPN.

Klient VPN Spoke 3 – w opcjach zaawansowanych profilu VPN DrayTek Smart VPN CLient kliknij przycisk WiÄ™cej a nastÄ™pnie dodaj odpowiednie trasy statyczne w profilu VPN (w omawianym przykÅ‚adzie 192.168.2.0/24 oraz 192.168.3.0/24)

Tabela routingu po ustanowieniu tunelu

Metoda 2 – supersieć (agregacja adresów)

Jeśli posiadasz dużą liczbę oddziałów zaadresowanych według schematu 192.168.X.1 /24 to zamiast dodawać osobne trasy statyczne możesz użyć supersieci (agregacji adresów) np. 192.168.0.0 /16.

Serwer VPN nie wymaga modyfikacji ustawieÅ„, gdyż w swojej tabeli routingu ma on wszystkie podsieci osiÄ…galne przez VPN.

Klient VPN Spoke 3 – w opcjach zaawansowanych profilu VPN DrayTek Smart VPN CLient kliknij przycisk WiÄ™cej a nastÄ™pnie dodaj odpowiedniÄ… trasÄ™ statycznÄ… w profilu VPN (w omawianym przykÅ‚adzie 192.168.0.0/16).

Tabela routingu po ustanowieniu tunelu

Metoda 3 – trasa domyÅ›lna

Serwer VPN nie wymaga modyfikacji ustawieÅ„, gdyż w swojej tabeli routingu ma on wszystkie podsieci osiÄ…galne przez VPN.

Klient VPN Spoke 3 – w opcjach zaawansowanych profilu VPN DrayTek Smart VPN CLient zaznacz Użyj domyÅ›lnej bramy w sieci zdalnej, aby skierować caÅ‚y ruch (również do Internetu) przez tunel

Tabela routingu po ustanowieniu tunelu

VPN hub and spoke
Routery
VPN hub and spoke
Access Pointy
VPN hub and spoke
Switche
VPN hub and spoke
ZarzÄ…dzanie sieciÄ…
VPN hub and spoke
Akcesoria
Porównaj produkty
Sprawdź porównanie
Firmware
Firmware
Narzędzia
Narzędzia
Dokumentacja
Dokumentacja
Baza wiedzy
Baza wiedzy
Szkolenia
Szkolenia
Zgłoś problem
Zgłoś problem

W tej witrynie stosujemy pliki cookies. Standardowe ustawienia przeglądarki internetowej zezwalają na zapisywanie ich na urządzeniu końcowym Użytkownika. Kontynuowanie przeglądania serwisu bez zmiany ustawień traktujemy jako zgodę na użycie plików cookies. Więcej informacji w Polityce Cookies.

AkceptujÄ™