Я хотел бы настроить туннель IPSec типа «сайт-сайт» между моей компанией и внешней компанией. (Внешняя компания не поддерживает механизм коммутируемого доступа, поэтому мне придется использовать VPN типа «сайт-сайт»...)
Я хотел бы получить доступ к устройству с адресом 1.1.1.1 из моей сети 172.16.0.0/16. Я не такой уж большой эксперт по туннелям VPN типа site-to-site, но полагаю, что мне нужно создать туннель между 1.1.1.1/32 и 172.16.0.0/16. Конфигурация этого туннеля должна быть выполнена на обеих конечных точках туннеля. У этого есть один большой недостаток: внутренние детали моей сетевой структуры раскрываются внешней компании.
Есть ли способ создать туннель, НЕ предоставляя узлу все данные о моей локальной сети?
Имеет ли смысл подключение site-to-site VPN в этом контексте? Если да, то как их следует настраивать? Если нет, то какие альтернативные решения могут быть, если я не хочу, чтобы данные передавались в незашифрованном виде?
С наилучшими пожеланиями, Том.
решение1
В качестве иллюстрации того, что можно сделать, рассмотрим следующее:
Так как туннельделаетпо необходимости посредником каждого пакета, который проходит через туннель в любом направлении, онможетограничить, какие пакеты могут быть отправлены и какие комбинации IP-адресов могут быть использованы.
И, конечно же, «то же самое может сделать любой брандмауэр».
В вашем случае логической стратегией является VPN-соединение типа «сеть-сеть», и зачастую его можно реализовать аппаратно, на уровне маршрутизатора.