自社と外部企業の間に IPSec サイト間トンネルを設定したいと考えています。(外部企業はダイヤルイン メカニズムをサポートしていないため、サイト間 VPN を使用する必要があります...)
ネットワーク 172.16.0.0/16 からアドレス 1.1.1.1 のデバイスにアクセスしたいと考えています。サイト間 VPN トンネルについてはそれほど詳しくありませんが、1.1.1.1/32 と 172.16.0.0/16 の間にトンネルを作成する必要があると思います。そのトンネルの構成は、両方のトンネル エンドポイントで行う必要があります。これには 1 つの大きな欠点があります。ネットワーク構造の内部詳細が外部の会社に公開されてしまうのです。
ローカル ネットワークの詳細すべてをピアに提供せずにトンネルを作成する方法はありますか?
この状況では、サイト間 VPN 接続は意味があるでしょうか? 意味がある場合、どのように構成すればよいでしょうか? 意味がない場合、暗号化されていない方法で通信したくない場合は、代替ソリューションは何でしょうか?
よろしくお願いいたします、トム
答え1
何ができるかの例として、次のことを検討してください。
トンネル以来する必然的にトンネルを通過するパケットをどちらの方向にも仲介することになるので、できる送信できるパケットと使用できる IP アドレスの組み合わせを制限します。
そしてもちろん、「どのファイアウォールでも同様です。」
サイト間 VPN は、この場合論理的な戦略であり、多くの場合、ルーター レベルでハードウェアに実装できます。