Jeg har lidt af et problem. Jeg har 2 websteder. HQ og Branch er begge forbundet via et sted-til-sted VPN (IPsec).

HQ .: 192.168.10.x/24 Filial: 192.168.25.x/24

Hvis jeg er i HQ-bygningen og i 192.168.10.x/24 -netværket, kan jeg få adgang til 192.168.25.x/24 -netværket uden problemer.

Hvis jeg er hjemme og forbinder via FortiGate VPN IPsec-klient til hovedkvarteret, kan jeg få adgang til 192.168.10.x/24 -netværket, men jeg kan ikke nå 192.168.25.x/24 netværk.

Hvad jeg har prøvet indtil videre .:

  1. Firewall-politik for at tillade trafik fra clientvpn-netværk (10.10.10.x/24) til 192.168.25.x/24 -netværket og omvendt.
  2. Tilføjelse af en statisk rute på min pc, så pcen prøver at få adgang 192.168.25.x/24 -netværket via 10.10.10.1 (FortiGate).

Traceroute vises på ly * * * om processen for at nå 192.168.25.x/24 netværk.

Enhver idé?

Jeg har forsøgt at bruge søgningen, men jeg kunne ikke finde noget lignende.

Kommentarer

  • Tak. ' Jeg ved det ikke, jeg troede, det ville være ok at spørge her.
  • Har noget svar hjulpet dig? Hvis ja, skal du acceptere svaret, så spørgsmål ' dukker ikke op for evigt og leder efter et svar. Alternativt kan du give dit eget svar og acceptere det.

Svar

Du kan prøve en nem løsning: Når du er tilsluttet via FortiClient, NAT din IP-kilde til HQ-netværkets rækkevidde. Til dette skal du aktivere “NAT” i politikken fra klienttunnel til HQ_LAN. Fra dette tidspunkt behandles din klient som enhver vært på HQ-netværket, herunder routing og politistyring til filialnetværket.

Som et alternativ kan du opbygge en anden fase2 kun til 10.10.10.x-netværket på begge sider af HQ-BR-tunnelen, tilføje dette netværk til tunnelpolitikkerne på begge sider og tilføje ruter i filial og på klient-pcen. Det sidste krav retfærdiggør næsten altid NATting i stedet.

Svar

Der kan være flere problemer, først slippe af med den statiske rute på VPN-klienten, hvis ruten ikke er der, er problemet et andet sted. Send routingtabel, når du er tilsluttet VPN (rute PRINT).

Jeg antager, at du ikke bruger delt tunneling til klientens VPN og reklamerer for en standardrute, ikke? Det burde være i routingtabellen, når du er tilsluttet.

Kontroller derefter, om du har defineret netværk 10.10.10.x / 24 i fase 2 af HQ-Branch VPN på begge sider for at kommunikere direkte (uden NAT), det SKAL være der.

1.) For politikker skal du kontrollere, om du har de rigtige kilde- og destinationsgrænseflader – kilden skal være ssl. root (eller tilsvarende) og destinationsgrenens IPSec VPN-interface

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *