VPN s2s giữa 2 mạng LAN bị trùng subnet

by HaiNguyen -IT | 19/01/2026 | Lượt xem: 423

MÔ HÌNH

Ở đây 2 mạng LAN bị trùng subnet với nhau, nếu để mặc định thì gói tin sẽ không chịu đi sang bên đối tác, mà chỉ quanh quẩn bên LAN mình

Ta sẽ dùng giải pháp NAT nhưng cần có 1 câu lệnh “bí kíp” bên dưới để NAT toàn bộ subnet này sang subnet kia.

Đầu tiên mình cấu hình VPN kiểu policy-base cho nhanh

Mẫu config như này

crypto isakmp policy 10

 encr 3des

 hash md5

 authentication pre-share

 group 2

 lifetime 28800

crypto isakmp key 123456 address 10.1.2.1   

!

!

crypto ipsec transform-set TS esp-3des esp-md5-hmac

 mode tunnel

!

crypto ipsec profile HAI_PS

 set transform-set TS

 

 

 interface Tunnel0

 ip address 172.16.1.2 255.255.255.0

 tunnel source  10.1.2.2

 tunnel destination 10.1.2.1

tunnel mode ipsec ipv4

 tunnel protection ipsec profile HAI_PS

Khi show lên sẽ thấy UP-ACTIVE:

Sau đó ta sẽ NAT mỗi dải LAN ra 1 dải IP mới để tránh trùng

Bên phải NAT 192.168.1.0/24 ra 10.2.0.0/24

Bên trái NAT 192.168.1.0/24 ra 10.1.0.0/24

Câu lệnh sau để NAT toàn bộ subnet mà ko cần gõ lẻ từng IP:

Bên phải:
ip nat inside source static network 192.168.1.0 10.2.0.0 /24

Bên trái:
ip nat inside source static network 192.168.1.0 10.1.0.0 /24

Nghĩa là ví dụ 192.168.1.100 sẽ thành 10.2.0.100 ở bên phải, tương tự 10.1.0.100 bên trái

Sau đó ta vào các interface LAN và Tu0 lần lượt đánh lệnh ip nat inside và ip nat outside:

Sau đó khai báo route static tới dải đã NAT qua tu0:

R1: ip route 10.2.0.0 255.255.255.0 Tunnel0

R2: ip route 10.1.0.0 255.255.255.0 Tunnel0

TEST THỬ:

PC1 ping NAT của PC2

PC2 ping NAT của PC1

Bắt wireshark thấy đã mã hoá

Tham gia ngay khoá CCNP để học những kĩ năng thực tế chuyên sâu khác: https://hainguyenit.edubit.vn/combo/networking-full-course-ccna-to-ccnp

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất