タグ付けされた質問 「vpn」

仮想プライベートネットワーク(VPN)に関する質問。

1
静的IPSec VPNトンネルをフェイルオーバーするにはどうすればよいですか?
顧客サイトがデフォルトゲートウェイを使用してインターネットエッジルーターに到達し、トラフィックのプライマリルートがより低いメトリックを使用する、弾力性のあるゲートウェイを備えたネットワークがあります。 ipsecトンネルは、エッジルーターの背後にあるvpnコンセントレーターから開始され、サードパーティのデータセンターである宛先トンネルエンドポイントに静的に構成されます。サードパーティで動的ルーティングプロトコルを使用できません。 問題は、サードパーティが定期的に使用しているピアリングアドレス範囲が変更されてプライマリトンネルがダウンし、セカンダリトンネルへの手動切り替えが煩雑に実行されていることです。 静的IPSec構成で宛先IPが信頼できない場合、このシナリオでトンネル間で最も効率的にフェールオーバーするにはどうすればよいですか? エンドポイントが使用可能になったときに、プライマリトンネルをプリエンプトするにはどうすればよいですか?
8 cisco  vpn  ipsec  failover 

2
VPNサイト間および同じIPアドレスのリモートLANを使用したNAT
クライアントを私の会社に接続するためのASA5510があります。反対側のさまざまなベンダー(Cisco、Sonicwall、Zyxel、Checkpointなど)でサイト間IPSec VPNを使用しています。 すべてのリモートLANについて、ネットワーククライアントを単一のIPアドレスに変換します。例えば: Client1 192.168.1.0/24ダイナミックPAT(非表示)abc1 / 24 Client2 172.16.0.0/16ダイナミックPAT(非表示)abc2 / 24 Client3 172.17.4.0/26ダイナミックPAT(非表示)abc3 / 24 現在の構成ではすべてが正常に機能していますが、Client1と同じIPアドレスを持つ新しいクライアント(ClientN)ができました。「ClientN 192.168.1.0/24 Dynamic PAT(hide)abcn / 24」を試してみましたが、実行すると、Client1が接続を失い、ClientNのネットワークを削除する必要がありました... 同じリモートIPアドレスにVPNの使用を許可するアイデアはありますか? ASDMを使用してASAをセットアップします。
8 cisco-asa  vpn  nat  ipsec 

3
VPLSとレイヤー2 VPNの違いは何ですか?
非常にオープンエンドの質問についてお詫びしますが、私はVPLSとL2 VPNを区別するのに苦労しています。どちらもMPLSで実行されていることは承知していますが、どちらが何であるかを明確に説明しているドキュメントやサイトは見つかりません。 私たちは最近、一部のサイトを相互接続するためにビジネスにVPLSを実装しました。しかし、MPLSリンク上で実行されている別のL2 VPNもあるという他のエンジニアの1人を耳にしました。そして、私がどのように2つの相互リンクがどのようにそれらが同じものであるという印象の下にあったかはわかりません。 はっきりしていなくて申し訳ありませんが、一般的には違いがわかりません。2つの用語を明確にするために少し助けが必要でした。 私は最初のネットワーキングの役割に移行しており、これらの用語が何度か言及されています。
8 vpn  mpls  vpls  l2vpn 

3
VPN RAおよびL2Lトンネルのファイアウォールの配置
以下のためにリモートアクセス(RA)とのLAN-to-LAN(L2L)VPN、私は現在のCisco VPNのペアを操作するインターネットエッジの外側にルータとは何かにPIX 535sの内部ペアに結び付けられ内部に縛ら3005のコンセントレータ実際の内部ネットワークへの通過が許可される前のファイアウォール外部インターフェース。VPN 3005とPIX 535はどちらもASA-5545Xプラットフォームに置き換えられています。これらのファイアウォールは、主要なインターネットトラフィック用ではなく、VPN専用です。また、プライベートラインを介してデータセンターに入るトラフィックの内部ファイアウォールとしても機能します。 VPNファイアウォール(5545)の内部インターフェースが別のサブネットにある場合、セキュリティ境界のために、VPNトラフィックと潜在的に他のプライベートライントラフィックを処理する単一のファイアウォールに内部ファイアウォールACLを組み合わせて、ルーティングの問題を回避します。メインのインターネットファイアウォールから、またはそれは本当に重要ではないのですか? OSPFは現在、インターネットファイアウォール(w / default-originate)およびVPN 3005で実行されています。このデータセンターはWebトラフィックの主要なDCであるので(パンとバター)、配置の潜在的な問題を排除する必要があります。少しでもこれに干渉する可能性のあるVPNファイアウォール。 ** 5545の内部インターフェイスが最初にL2エッジスイッチに到達し、次にAGGスイッチにトランク接続してセキュリティを向上させるか、内部回線を直接Aggレイヤにドロップする必要があります。また、プライベートライントラフィックがさらに別のインターフェイスを通過する可能性があることも考慮してください。 5545の将来。 問題となっているASA-5545X *について、L3接続の関連部分のみを以下に示します。 インターネット | エッジRTR +エッジRTR | 5545 *(VPN /内部fw)+ 5540(DCのトラフィックの送受信用のインターネットfw) | Agg-1 + Agg-2 | 等 L2スイッチのペアは、Aggスイッチに到達する前にすべてのエッジデバイスを接続します。 ファイアウォールの外側のパブリックIPスペース、内側はプライベート。 (各ファイアウォールは、示されていない個別のフェイルオーバーペアの一部です。5545および5540 相互作用はありません。) ベストプラクティスと見なすことができる回答またはコメントを探すこと、またはあなたが見つけたものは、典型的なエンタープライズネットワークで最もうまく機能します。


2
Cisco GET VPN設定-ベストプラクティス/ループバックを使用できますか?
私は、多数のリモートロケーションのre-ipアドレス指定の処理を行っています。すべてのリモートロケーションは、トラフィックの暗号化にCisco GET VPN / GDOI構成を使用しています。その過程で、ベストプラクティスに従っていることを確認するために、構成も確認したいと思いました。 Cisco GET VPN構成ガイドと導入ガイドを読み終えましたが、この質問に対する適切な回答が見つかりませんでした。 暗号化されたトラフィックの終端インターフェイスとしてループバックまたは物理インターフェイスを使用するのがベストプラクティスですか? 現在の構成では、物理Gig0 / 0インターフェイスを使用して、暗号化されたトラフィックを終端しています。ただし、関連する他の変更の一部を簡略化するために、その目的のためにLoopback0インターフェイスを利用したいと思います。将来的には、これらのサイトの一部が冗長アップリンクを取得することになります。私の理解では、ループバックインターフェイスを使用して両方の暗号化された接続を終了できると思います。 次の2つのサンプルは、既存の構成と、ループバックを使用するようにルーターを設定する必要があることを理解する方法です。次のコマンドをGMに追加するだけでよいと思います。 crypto map %MAPNAME local-address Loopback0 GMアドレスは、キーサーバーでも変更する必要があります。私の知る限り、KSの唯一の変更です。 既存の構成のサンプル: ! crypto isakmp policy 10 encr aes authentication pre-share group 2 crypto isakmp key %KEY address 10.100.1.1 crypto isakmp key %KEY address 10.100.2.1 ! crypto ipsec df-bit clear crypto gdoi …
8 cisco  vpn 

4
IPv6はVPNの必要性を排除しますか?
VPNはさまざまな方法でさまざまな方法で使用される可能性があることを知っているので、IPv6によってVPNの必要性が完全になくなることはお勧めしません。ある特定のユースケースに興味があります。 私はセルラー(GSM)ルーターを使用しており、従来、ローカルネットワークオペレーターの標準のSIMで動的IPv4アドレスを取得できます。インターネットからルーターにアクセスできるようにするために、今日はVPNを使用しています。これは2つのことを行います。 それは私のルーターに静的IPv4アドレスを与えます。オペレーターによって割り当てられた動的IPv4アドレスが変更された場合、またはオペレーターを変更した場合、これは変更されません。 これにより、オペレーターのNATファイアウォールを通過できます。ルーターがサーバーとして機能している場合は、ルーターへの接続を開始できます。 私はまだIPv6について学習していますが、ネットワークオペレーターがIPv6(たとえば、米国ではVerizon Wireless)をサポートしている場合は、VPNはもう必要ないようです。 3GPPセルラーオペレーターはSLAACを使用しており、グローバルユニキャストアドレスを取得しています。これは、定義により、グローバルにルーティング可能です。NATはありません。 オペレーターが割り当てる/ 64プレフィックスと、使用するインターフェイスID(EUI-64またはRFC 7217)がわかっているため、静的IPv6アドレスを持っています。 これは正しいです?それとも何か不足していますか? もちろん、VPNは認証と暗号化を追加するため、VPNが追加のセキュリティを提供することを認識しています。ただし、この説明では、セキュリティのために、アプリケーションレイヤーでIPv6ファイアウォール、IPsec、またはTLSを使用すると想定します。 IPv6でVPNを引き続き使用できることはわかっています。これにより、古いプライベートIPv4アドレスと同じように、一意のローカルIPv6アドレスを使用できます。しかし、なぜ私はする必要があるのでしょうか?
8 ipv4  vpn  nat  ipv6  mobile 

3
コムキャストモデムを使用したネットワークとデバイスの設定に関するアドバイス
概要 私の最終的な目標は、Ciscoルーターを介してVPNを実行することです。つまり、Comcastゲートウェイを邪魔にならないようにすることです。このために、Ciscoルーター(またはスイッチ)を論理的にWANの近くに配置し、論理デバイスとしてのComcastモデムを削除します。モデムを実際に削除することはできません(結局、WANアクセスを提供します)が、そのDHCP、NAT、またはファイアウォールサービスは必要ありません。設定のアドバイスをお願いします。 細部 これが私の現在のネットワーク設定です: Comcastゲートウェイ-Ciscoルーター-Ciscoスイッチ<LAN&Wifi(Ruckus) Comcastモデム:TC8305C Ciscoルーター:1941-sec / k9 + ehwic-4esg Ciscoスイッチ:2960S 48TS-L(マルチレイヤースイッチ、VLANなど) モデムは、DHCPサーバー、NATおよびファイアウォールとして動作し、内部アドレスは10.0.0.1/24です。ルーターのWANポートは、動的アドレス(DHCPクライアント)でルーターに接続されています。ルーターのLAN側では、NAT(はい、現時点では二重NATを実行しています)、DHCPサーバー、DNS、NTPも実行しています。 オプションについての私の考えは: モデムをブリッジモードで実行します。 ルーターをモデムのDMZに配置します。 1&2の1つのバリエーションは、モデムをスイッチに接続することです。 ブリッジモードのモデム モデムをブリッジモードに設定しようとしましたが、インターネットアクセスがダウンしていて、非常に怒っているユーザーに耐えなければならない非常に不愉快な90分の期間がありました。ルータWANポートを正しく設定できなかったと思います。DHCPモードであったためと考えられます。静的アドレス(10.0.0.2/24など)に設定したいのですが、今のところ、ブリッジモードについては少し恥ずかしがり屋です。「コムキャストブリッジモード」を検索すると、Googleは大量のヒットを生成しますが、見つけたものをあまり活用できませんでした。コムキャストブリッジモードでのルーターWANポート構成に適切な呪文を見つけることができませんでした。 余談ですが、Comcastブリッジは完全に透過的ではありません。モデムはIPアドレス(10.0.0.1)を保持します。モデムのポート1にラップトップを直接接続すると、http経由で接続し、(幸いにも)再構成できます。したがって、私のラップトップは、ルーターがそうでなくても、ブリッジモードでモデムを処理する方法を理解しています。 また、ブリッジモードでは、ルーターがDHCPの場合と同様に、ルーターがComcast ISPから動的設定(DNSやデフォルトゲートウェイなど)を取得する方法も混乱しています。または、これらが実際に動的ではなく、ルーター構成ファイルでハードコーディングする必要がある場合。 モデムが完全に邪魔にならず、ルーターがセキュリティ、VPN、DDNSなどを実行できるため、これはネットワークにとって最良のオプションだと思います。 これを機能させるにはどうすればよいですか? モデムDMZのルーター ここでは、構成に関するあらゆる問題を解決し、ルーター(静的IP、たとえば10.0.0.2/24)をモデムのDMZにドロップするだけで、すべてのインターネットトラフィックを転送できます。この構成と上記の構成との間に大きな違いはありませんが、モデムは依然としてレイヤ3デバイスのように機能します(まして、さらにレイヤ3デバイスのように機能します)。私はこれを動作させることができるとかなり確信しており、ルーターを介してVPNを動作させることができなかった理由はわかりません。 ここでの1つの欠点は、モデムが動的DNSを実行するためのdyndns.orgしか提供しないことです。この組織がDDNSプロバイダーであるという意見はありませんが、ルーターが許可するベンダーを選択したいと思います。また、私のエンジニアは、WANパスでの不要な処理を最小限に抑えたいので、モデムのブリッジングの方が快適です。 スイッチを介してモデムを実行 しばらく前にネットワークエンジニアとチャットしたところ、モデムを直接スイッチに接続することを提案されました。構成に関する詳細については触れませんでした。私の想定では、上記のシナリオ(ブリッジまたはDMZ)のいずれかが、次の条件で直接スイッチにも同様に機能する可能性があります。 外部攻撃を防ぐために、スイッチ/モデムポートに適切なACLを設定します。 着信DMZトラフィックをルーターに転送するためのモデムおよびルーター通信用の個別のVLAN。着信トラフィックはVPNトラフィックに制限する必要があります。他のすべてのトラフィック(TPC、UDP、ICMP)は、セキュリティ上の目的でブロックされます。ルータのWAN側にあるのと同じACL。 スイッチにモデムを直接配置することで、接続の確立後にIPパケットをショートカットするスイッチの機能を利用できるので、彼がこの設定を推奨したと思います。つまり、内部デバイスがモデム(おそらくルーターのVLANで開始された接続の確立)を介して接続すると、スイッチはこれを認識し、関連するすべてのIPパケットを内部デバイスとモデムの間で直接ルーティングし、ルーターをスキップします。これは、モデムとスイッチがルーターポート上にある物理構成では発生しません。 要約 ルーターのWANポート構成は、ブリッジモードのComcastモデムで動作するようにどのように見えるべきですか?(DNSサーバーのように)他に注意すべき構成オプションはありますか? または、ルーターをDMZに配置することで解決できますか? モデムを再構成して#1または#2のスイッチポートに移動する価値はありますか?
8 cisco  switch  router  vpn  bridge 

1
ISP(PPTP)を介したリモートロケーションからのVPNトンネルの問題
次のようなネットワーク状況があります。 ISPルーター(モデム)-ISPから提供されたデバイス-モデムとルーターが1つに組み込まれていますが、透過モードに設定されています-ISPはそのように言っています。 MikroTikルーター(MTR) -ファイアウォールを備えたエッジルーター サーバーNASとVPNサーバー(NAS) -Synologyボックスとデータストレージ、および実行中のPPTP、OpenVPN、L2TP / IPSecサービスを備えたVPNサーバー-ローカル企業とリモートロケーションのワーカーがデータを取得するために接続します ローカルステーション(LS) -私たちのネットワークサイトの労働者-彼らはPPTPを使用することを意味するWindows 8を使用しています リモートステーション(RS) -異なるISPの背後にあるリモートサイトの労働者 以下に、Mikrotik構成を示します。 ルーティングテーブル: Dst. address | Gateway | Distance | Pref. source | 0.0.0.0/0 | 1.1.1.9 | 2 | - | 1.1.1.8/30 | ether1 | - | 1.1.1.8/30 | 192.168.1.0/24 | bridge local | - | 192.168.1.0/24 | …
7 routing  vpn  nat  isp 

1
シスコのルーターをL2TPクライアントとして使用していますか?
さまざまな理由で、NAT処理されたADSL接続の背後にCiscoルーターが配置されているというお客様がいます。彼らは私たちの拠点の1つにVPNを作成することを望んでおり、私たちが提供する唯一のオプションはサイト間またはL2TPダイヤルインです。 L2TPを介してPoPに接続するようにCisco(3925)を構成することは可能ですか?L2TPサーバーはFortigate 100Dのペアであり、この構成により、iPad、ラップトップなどがIPSECで保護されて問題なくダイヤルインできます。 私はこれを自分のオフィスで1921でテストしています。見つけたいくつかの参考資料は、疑似配線設定の使用が必要であることを示していますが、それを確立するのに問題があり、IPSECがそれに適合します。
7 cisco  vpn  cisco-ios  ipsec 

1
IPSec VPN、フェーズ2が起動しない
私はこれに対する答えを知っていると確信していますが、それを実装する方法がわかりません。 Cisco 2811からopenswanを実行するLinuxボックスにipsec vpnをセットアップしようとしています。これまでのところ、フェーズ1を開始できますが、フェーズ2に問題があります。その100%の構成の問題。 私がやろうとしていることは、ネットへのゲートウェイとしてその反対側のインターネット接続を使用して、Webおよびその他のトラフィックをVPNにプッシュすることです。クリプトマップエラーが発生します。これがセットアップです。1.1.1.1シスコである。2.2.2.2アドレスは、NICが1つしかないLinuxサーバーです。 192.168.xx / 24 ----- 1.1.1.1-インターネット2.2.2.2 ---- >>>インターネット フェーズ2トンネルを形成できない理由を理解しています。マップに同意できません。しかし、私はこの場合マップがどうあるべきかわかりません。 今のところ、ICMPのみでテストしています。 NATからICMPを除外しました: ip access-list extended NAT deny icmp 192.168.30.0 0.0.0.255 any 次に、VPNの「興味深いトラフィック」は次のとおりです。 access-list 153 permit icmp 192.168.30.0 0.0.0.255 any openswan側で私が使用しています: left=2.2.2.2 right=1.1.1.1 rightsubnet=192.168.30.3/24 さて、Ciscoはすぐに破棄を開始します。 2d11h: map_db_find_best did not find matching map 2d11h: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists …
7 cisco  vpn  ipsec 

1
Juniper SRX:IKEデバッグメッセージはどこにありますか?
JSECの本を読んでいると、次のスライドで、トンネルを確立するために発生する6つのIKEフェーズ1メッセージがあることがわかりました。 kmdログとtraceoptionsデータを調べていますが、これらのログに示されているIKEメッセージに関連する情報が何もありません。多分私はそれを間違って見ていますか?私のSRXがこれらのメッセージの1つに電話を切っている場合、どこでそれを判断できますか?

1
ASA VPNピアのタイムアウト
データセンターVPNピア用に2つのIPアドレスを使用してリモートサイトを構成しました-1つのプライマリ(1.1.1.1)、1つのバックアップ(2.2.2.2)。プライマリピアに障害が発生すると、リモートサイトはDPDを使用して障害を検出します(約15秒後)。それはSAを破棄し、次にプライマリピアへの再接続を試みます!約30秒間応答がないと、最終的にバックアップピアが試行され、すぐに接続されます。他の誰かがこれを見たことがありますか?この不要な30秒の待機を回避する方法はありますか? (コードバージョンは8.2(5)、以下の構成) リモートサイトのファイアウォール: crypto ipsec transform-set L2L-VPN-TRANSFORM esp-3des esp-sha-hmac crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 ! tunnel-group 1.1.1.1 type ipsec-l2l tunnel-group 1.1.1.1 general-attributes default-group-policy L2L-VPN-POLICY tunnel-group 1.1.1.1 ipsec-attributes pre-shared-key ***** tunnel-group 2.2.2.2 type ipsec-l2l tunnel-group 2.2.2.2 general-attributes default-group-policy L2L-VPN-POLICY tunnel-group 2.2.2.2 ipsec-attributes pre-shared-key ***** …

1
中国への信頼できる接続
私は中国への信頼性の高い接続を確立するのに苦労しています(AS4837チャイナユニコムバックボーン、AS4134チャイナテレコムバックボーン、AS4538中国教育研究ネットワークセンター) 私が使用したほとんどのリンクでは、300ms + RTTと高いジッターが見られ、50%のパケット損失は珍しくありません。いくつかのリンクは、忙しい時間帯にRTTが1000msを超えることさえあります。 中国のISPは、プレミアム以外のトラフィックをオーバーサブスクライブリンクに送信する傾向があります。 私は、米国と中国に複数のサーバーを配置することで回避しようとしています。米国の各サーバーが中国の少なくとも1台のサーバー(例:AS6939 Hurricane Electric with AS4134 China Telecom Backbone)に接続できることを願っています。中国のリソースにアクセスしたい米国の顧客の場合、彼らは米国の私のサーバーに接続し、私のサーバーは中国のどのサーバーに接続するかを「ルーティング決定」します。私はある意味でトランスポートを実行しています。 これは実現可能ですか?現時点では、金銭的およびライセンス上の制約により、中国でプレミアムリンクを購入することはできません(CDNでさえ、中国で通信事業者のライセンスを取得するのが難しいことは言うまでもなく、妥当な価格帯の帯域幅を取得するのは難しいと感じています)。 トランスポートネットワークでルーティングを決定するには、どのようなルーティングオプションが必要ですか?サイト間VPNをメッシュ化する場合、どのように拡張できますか? 使用できる暗号化はありますか?AFAIK OpenVPNはAS4837 China Unicom Backboneでは機能しません。これは、TLSハンドシェイクが中国のGFWによってドロップされているためです。stunnelのようなものを使用した二重カプセル化は今のところ機能しますが、実際にはパフォーマンスが低下します(tcp内のtcpでカプセル化されたトラフィック)。 中国への接続が良好なアップストリームとのBGPピアと一部のBGPトラフィックエンジニアリングは適切なアプローチのように聞こえますが、現時点では予算をはるかに超えています。 私の目標は、遠く離れたコンテンツにアクセスする住宅ユーザーのエクスペリエンスを最適化することです。私は問題を解決するために正しい方向を見ていますか? ありがとう。 私は中身ではありません、ただ交通手段を提供したいだけです。 Edit1:AS4538中国教育研究ネットワークセンターはIPv6対応であり、IPv6のパフォーマンスは通常IPv4より優れています。これら3つの中国のISP間の接続は、非常に貧弱な場合があります(同じ都市にある別のISPへのパケット損失が高い300ms + RTT、中国のISP1-US-中国ISP2より遅い)。また、ユーザーはこれら3つのISPのいずれかに接続できます。
7 routing  vpn 

2
複数のIPアドレスを持つホストのVPNルーティング[終了]
閉まっている。この質問はトピックから外れています。現在、回答を受け付けていません。 この質問を改善してみませんか? ネットワークエンジニアリングスタック交換のトピックになるように質問を更新します。 昨年休業。 私はMikrotik RouterOSをNATルーターとして使用しています。ルーターの背後にある一部のホストもインターネットに直接接続しており、これらのホストには、RouterOSではなくISPのゲートウェイへのデフォルトルートがあります。これらのホストの1つで、パブリックIPを使用してOpenVPNサーバーを調整モードで設定しました。問題は、VPNクライアントがISPへのデフォルトルートを持っているため、パブリックIPを持つホストと通信できないことです。RouterOSに静的ルートを配置できますが、ISPのルーターを制御できません。したがって、VPNクライアントに送信されるパケットは、VPNサーバーではなくWANリンクに送信されます。どのようなオプションがありますか? プライベートDHCPプール172.16.10.0/24、ゲートウェイ172.16.10.1(RouterOS) OpenVPNプール172.16.11.0/24 タップモード、多くのオーバーヘッド tunモード、DHCPプール内のVPNプール、およびLAN内のVPNプール用のOpenVPNサーバープロキシARP tunモードでは、パブリックIPを持つすべてのホストにOpenVPNプールの静的ルートを追加します。これはうまく拡張できず、混合環境では作業が多すぎます IPv6。問題は、多くのWindowsアプリケーション(VMware製品など)でIPv6のサポートが不十分であることです。すべてのホストにはIPv6接続がありますが、VPNクライアントはIPv6を取得するのに苦労する可能性があります。 私はおそらくすべてをファイアウォールの背後に置く必要があることを知っています。Juniper SRXを入手したら、それを行います。すべてのホストに十分なパブリックIPがありません。また、RouterOS / pfSenseは、パブリック/プライベートIPが混在する環境には適していません。私はこれが最初から貧弱な設計であることを認めなければなりません、銀行を壊すことなく移行パスはありますか?制作ではなく、少し複雑なホームネットワークです。 私はあなたの入力に感謝します。 Edit1(JelmerSの回答への応答):これは実行可能ですが、OPで述べたように実際には適切にスケーリングされません。この環境では、BSD、Linux、Windows、スタンドアロンアプライアンス(シェル、プリンター、ネットワーク監視デバイス、電話など)のないさまざまなフレーバーを使用しています。DHCPオプション33とオプション121を試しますが、それらがさまざまなデバイスでどの程度サポートされているかはわかりません。 Edit2(Joseph Draneの回答への応答):1.現在パブリックIPを持つホストには、RouterOS LANへのリンクとISPへの別のリンクがあります(RouterOSをバイパス) 静的NATを実行する正当な理由はありますか?不要のようです(パフォーマンスが大幅に低下します) 私が探しているファイアウォールは、透過モードでうまく機能します。DHCP / NATは完全に別のボックスで実行できます。しかし、私が使用したほとんどのファイアウォールは透過モードではサポート/機能せず、トラブルシューティングが困難です(可視性の欠如) Edit3:RouterOSはESXi内で実行されます。他のゲストOSもあります。環境が物理/仮想ホストと混在しています。ESXiボックスに十分なNICインターフェイスがあります。ホストがパブリック/プライベートアドレスを簡単に切り替えられるようにする柔軟性が欲しい。
7 vpn  routing 
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.