lingping

2007年5月4日 15:15

各位好！

问题是这样，目前我已经将hq与branch通过zywall2与sonicwall pro 4100成功建立了site to site ipsec tunnel。

hq的192.168.10.0/24可以正常访问branch的192.168.100.0/24的网络。

hq防火墙后面连接了一个三层交换机，并划分了四个vlan，各vlan间通讯正常，基本配置如下：
vlan ip address:

vlan1: 192.168.10.254/24
vlan2: 192.168.11.254/24
vlan3: 192.168.12.254/24
vlan4: 192.168.13.254/24

static route:
ip route-static 0.0.0.0 0.0.0.0 192.168.10.1

为了便于hq访问internet并通过192.168.10.1,还在192.168.10.1上配置了静态路由：

source destination service gateway metric
192.168.10.1 192.168.11.0/24 any 192.168.10.254 1
192.168.10.1 192.168.12.0/24 any 192.168.10.254 1
192.168.10.1 192.168.13.0/24 any 192.168.10.254 1

以上配置运行一切正常，但我现在将hq与branch建立vpn连接后，hq这边的 192.168.11.0/24,192.168.12.0/24,192.168.13.0/24均不能访问branch的 192.168.100.0/24的网络，不过从我的路由表上可以看到， 192.168.11.0/24,192.168.12.0/24,192.168.13.0/24这三个网络没有到达192.168.100.0/24 网络的路由，我试图添加静态路由，但不成功，所以在此请教各位这个静态路由如何添加，谢谢！

ps:zywall2也支持添加静态路由

风间子

2007年5月7日 16:22

我感觉是从branch返回路由的问题，因为你出去的路由应该是正确的。

lingping

2007年5月7日 17:21

quote(风间子 @ 2007年5月7日 16:22)

我感觉是从branch返回路由的问题，因为你出去的路由应该是正确的。

lingping

2007年5月8日 14:44

谢谢大家！

现已经ok，根据wool-cool的意见已经连接成功，分部可以访问总部所有子网，总部所有子网可以访问分部。

总部防火墙内部网络设定为：192.168.10.1/22
分部防火墙vpn远程站点设定地址范围即：192.168.10.0~192.168.13.255

wool-cool

2007年5月8日 15:39

总部防火墙内部网络设定为：192.168.10.0/21
分部防火墙vpn远程站点设定地址范围即：192.168.8.0~192.168.15.255

或者
总部防火墙内部网络设定为：192.168.8.0/22
分部防火墙vpn远程站点设定地址范围即：192.168.8.0~192.168.11.255
总部地址需要作相应调整。

lingping

2007年5月9日 19:46

quote(wool-cool @ 2007年5月8日 15:39)