SRX 550与SSG 140之间搭VPN

xiehouqiyuan

各位：
周末的时候在SRX 550与SSG 140之前搭VPN通道，拓朴请参考附件。


在SRX和SSG上分别建了一个VPN ZONE


策略方面，两台防火墙上均做如下配置：

从trust到vpn都是放开any源IP，any目的IP，any服务


路由方面：

SRX ： router 172.30.0.16/28 interface st0.1

SSG： router 172.30.0.0/28  interface tunnel.1



目前可以看到VPN已经起来，且从B-serverA和B-serverB上都可以Ping通A-serverA和A-serverB（Ping的是A-serverA和A-serverB NAT后的地址），通过tracert 可以清楚的看到路由是经过VPN通道来通讯的。


但是反过来在A-serverA和A-serverB上ping
B-serverA和
B-serverB却不通，从A
-serverA上做tracert发现数据包直接经过防火墙后就到公网了。


不知哪方面出现问题了，请大家指点，谢谢！！！

lvshanhua

过去的包，不知道要走VPN隧道么

xiehouqiyuan

lvshanhua 发表于 2013-12-23 11:02
过去的包，不知道要走VPN隧道么

感觉是这样，但是我有一条明细172.30.0.0/28的路由指的出接口是st0.1呀！！！

实际测试的结果像是这条路由没有生效。

但是从对端Ping过来又能通，只是本端ping对端的地址不通。

所以不明白是怎么回事。