Este artículo explica cómo enrutar el tráfico de los clientes VPN IPSec a otro túnel para llegar a los dispositivos detrás de una conexión de sitio a sitio.


Atención: ¡Esto no funcionó con Dynamic VPN! ¡Seleccione solo Site2Site VPN!

 

1.png

 

 

Configuración :

Para enrutar a los clientes VPN IPSec a otro túnel, deben utilizar direcciones IP fijas.


Si es necesario enrutar muchos clientes diferentes, se recomienda utilizar direcciones IP cercanas entre sí para poder crear un rango. Esto reduce el número de rutas necesarias.


La subred en la que se encuentran las direcciones IP no tiene que estar presente en el firewall.

 

 

Ingrese la dirección IP fija en el cliente VPN IPSec


2.png

 

 

En el firewall, navegue hasta

Configuration > Object > Address

y haga clic en

Add

 para crear el rango de direcciones IP del Cliente VPN IPSec.


3.png

 

 Ahora podemos agregar las rutas necesarias en

Configuration > Network > Routing

 con un clic en el

Add

 

4.png

 

 

Necesitamos crear dos rutas:

  • Uno para el tráfico saliente, es decir, desde el túnel de cliente VPN dinámico hasta la subred remota a través del túnel de sitio a sitio.

5.png

 

 

  • Uno para el tráfico entrante, es decir, desde la subred remota a través del túnel de sitio a sitio hacia el túnel del cliente VPN.

6.png

 

 

Las nuevas rutas deberían tener un aspecto similar a esto:


7.png

 

En el sitio remoto , puede ser necesario crear rutas similares para que el dispositivo en el  sitio principal sepa cómo manejar el tráfico de los clientes VPN provenientes del sitio de la sucursal.

 

En el sitio de HQ, creamos el rango de IP para los clientes VPN remotos para que podamos usarlo para enrutar el tráfico.


8.png

 

 

Ahora también creamos las rutas correspondientes en el sitio de la sede. 


Una ruta saliente, desde la subred HQ a través del túnel de sitio a sitio hasta los clientes VPN remotos.


9.png

 

 

Y una ruta entrante, por lo que desde el rango remoto del cliente VPN a través del túnel de sitio a sitio hasta la LAN local de HQ. Si el tráfico se enruta a una subred local, seleccionamos "Auto" como siguiente salto, el USG lo administra automáticamente.


10.png

 

Las rutas deberían verse así:



Fuente: https://support.zyxel.eu/hc/en-us/articles/360010904260-IPSec-VPN-Client-Routing-traffic-over-site-to-site-tunnel