Mám trochu problém. Mám 2 weby. Sídlo a pobočka jsou připojeny prostřednictvím VPN typu site-to-site (IPsec).

Sídlo .: 192.168.10.x/24 Pobočka .: 192.168.25.x/24

Pokud se nacházím v budově velitelství a v síti 192.168.10.x/24, mohu bez problémů přistupovat k síti 192.168.25.x/24.

Pokud jsem doma a připojuji se prostřednictvím klienta FortiGate VPN IPsec k ústředí, mohu přistupovat k síti 192.168.10.x/24, ale nemohu se dostat k 192.168.25.x/24 síť.

Co jsem zatím vyzkoušel .:

  1. Zásady brány firewall umožňující přenos ze sítě clientvpn (10.10.10.x/24) do sítě 192.168.25.x/24 a zpět.
  2. Přidání statické trasy do mého počítače, aby se počítač pokusil získat přístup 192.168.25.x/24 síť prostřednictvím 10.10.10.1 (FortiGate).

Traceroute se zobrazí na ly * * * v procesu získání sítě 192.168.25.x/24.

Nějaký nápad?

Zkoušel jsem použít vyhledávání, ale nic podobného jsem nenašel.

Komentáře

  • Děkuji. ' Nevím, myslel jsem, že by bylo v pořádku se zeptat zde.
  • Pomohla vám nějaká odpověď? Pokud ano, měli byste odpověď přijmout, aby otázka se ' neobjevuje navždy a hledá odpověď. Alternativně můžete uvést vlastní odpověď a přijmout ji.

Odpovědět

Můžete zkusit jednoduché řešení: při připojení přes FortiClient, NAT, zadejte svou zdrojovou IP adresu do dosahu sítě HQ. Za tímto účelem povolte „NAT“ v zásadě z tunelu klienta do HQ_LAN. Od tohoto okamžiku bude s vaším klientem zacházeno jako s jakýmkoli hostitelem v síti HQ, včetně směrování a kontroly do pobočkové sítě.

Alternativně můžete vytvořit druhou fázi2 pouze pro síť 10.10.10.x, na obou stranách tunelu HQ-BR, přidat tuto síť k zásadám tunelu na obou stranách a přidat trasy v pobočce a na klientském počítači. Tento poslední požadavek téměř vždy ospravedlňuje NATting.

Odpověď

Mohlo by dojít k několika problémům, nejprve se zbavte statické trasy na klient VPN, pokud tam trasa není, pak je problém jinde. Zveřejněte směrovací tabulku, když jste připojeni k VPN (cesta PRINT).

Předpokládám, že nepoužíváte rozdělené tunelování pro VPN klienta a inzerujete výchozí trasu, že? Po připojení by měla být ve směrovací tabulce.

Poté zkontrolujte, zda jste definovali síť 10.10.10.x / 24 ve fázi 2 HQ-Branch VPN na obou stranách, aby mohla komunikovat přímo (bez NAT), MUSÍTE tam být .

1.) U zásad zkontrolujte, zda máte správné zdrojové a cílové rozhraní – zdroj by měl být ssl. root (nebo ekvivalent) a cílová větev IPSec VPN rozhraní

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *