Я изо всех сил пытался найти оптимальное решение на работе, у меня есть эта конфигурация:
Компания B (Cisco) ->
- Имеет веб-сервис на внутреннем хосте, который мне не нужно знать, это локальный IP
- Через VPN Site-to-Site нам предоставили 172.20.1.10 в качестве идентификатора узла
-> VPN -> Интернет ->
Компания А (SonicWall UTM)
- Local Peer - 172.40.1.10 (для нового интерфейса X7 и новой зоны)
- NAT переводит это на хост: 192.168.168.50 в сети 192.168.168.0/24 с маской подсети 255.255.255.0, все отлично, 192.168.168.50 способен 172.20.1.10 успешно через NAT и правила доступа.
Проблема в том, что компания A имеет другую внутреннюю сеть 10.0.0.0/8, и мне нужен компьютер 10.0.10.100, чтобы можно было пропинговать 172.20.1.10.
Я попытался настроить правило NAT как:
- Источник оригинала: 10.0.10.100
- Источник переведен: 172.40.1.10
- Оригинал назначения: 172.20.1.10
- Направление переведено: оригинал
Но это не пингует. Коллега сообщил мне, что из-за разных сетевых масок (/8 вместо /24) и разных подсетей мне нужно использовать маршрутизатор, я попытался поиграться со статическими маршрутами SonicWall, но не смог понять. Кроме того, сети изначально создавались таким образом, чтобы не иметь возможности общаться, поэтому я также добавил необходимые правила разрешения Any-Any временно для тестирования, но безрезультатно.
Как решить эту проблему? Нужно ли информировать Компанию B и изменить мою локальную одноранговую сеть на 172.0.0.0/8? Решит ли это проблему, подсети теперь другие, даже если маска сети одинакова? Есть ли лучший способ, чтобы 10.0.10.100 мог пинговать 172.20.1.10? Я не хочу добавлять другую сетевую карту и назначать 172.40.1.xxx компьютерам в сети 10.0.0.0/8, потому что это означает дополнительное оборудование и больше проводов, которые должны быть выведены из серверных комнат.
Спасибо за прочтение. PS Это то, что происходит, когда компании полагаются на разработчиков программного обеспечения, чтобы выяснить вещи, которые обычно не являются их сферой деятельности. Спасибо за чтение