Nebula VPN - настройка маршрутизации из L2TP VPN в туннель "сайт - сайт

Создан 10/08/2022 14:53 - Обновлено 14/08/2023 12:47

Serhii Boiarynov

Важное уведомление:
Уважаемый покупатель, пожалуйста, обратите внимание, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. В случае возникновения вопросов или несоответствия точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь:Original Version

В этой статье рассказывается о том, как настроить доступ к ресурсу по протоколу L2TP на удаленном сайте, подключенном через Site-to-Site VPN на базе Nebula.
Данная статья работает с USG FLEX / ATP / брандмауэром стороннего производителя (удаленное расположение).

Сначала необходимо настроить VPN Site-to-Site; для этого на обоих USG необходимо задать следующие параметры:

Перейдите по адресу:

Site-wide > Configure > Firewall > Site-to-Site VPN

Сайт 1:
Выберите значение "none" для функции NAT-Traversal только в том случае, если на WAN-интерфейсе USG FLEX / ATP имеется публичный IP!
Если вы находитесь за NAT (WAN-интерфейс имеет такой IP: 192.168.10.123), используйте функцию NAT-traversal!

Сайт 2:

Выберите значение "none" для функции NAT-Traversal только в том случае, если на WAN-интерфейсе USG FLEX / ATP имеется публичный IP!
Если вы находитесь за NAT (WAN-интерфейс имеет такой IP: 192.168.10.123), используйте функцию NAT-traversal!

Проверьте в VPN Orchestrator, успешно ли построен туннель (обратите внимание, что для появления Link может потребоваться до 10 минут!)

Organization-wide > Organization-wide manage -> VPN Orchestrator

Затем нам нужно создать L2TP-доступ для сайта 1:

Site-wide > Configure > Firewall > Remote access VPN

Это даст нам настройки для нашего клиента:

Для ручной настройки (через CMD):

powershell -command "Add-VpnConnection -Name '[Sitename]' -ServerAddress '[Public IP/Domain Name]' -TunnelType 'L2tp' -AuthenticationMethod Pap -EncryptionLevel 'Optional' -L2tpPsk '[YourPSK/Secret]' -Force -RememberCredential -PassThru"

Теперь необходимо создать пользователя для удаленной VPN:

Site-wide -> Configure -> Cloud Authentication

Это даст нам данные для входа в туннель:

Теперь самая важная часть!
Это необходимо сделать на втором сайте (местоположение клиента, к которому мы пытаемся получить доступ).
Это также работает и с брандмауэрами сторонних производителей.
Нам нужно настроить обратный маршрут на втором брандмауэре, чтобы наш трафик возвращался в L2TP-туннель:

Site-wide > Configure > Firewall > Routing

Создайте маршрут политики для удаленной подсети (адрес назначения) и направьте трафик в VPN-туннель, выбрав тип Next-hop VPN-трафика в разделе "маршрут политики", а затем выберите VPN-туннель, в который будет направлен трафик.