Tengo un pequeño problema. Tengo 2 sitios. HQ y Branch están conectados a través de una VPN de sitio a sitio (IPsec).

HQ .: 192.168.10.x/24 Rama .: 192.168.25.x/24

Si estoy en el edificio HQ y en la red 192.168.10.x/24, puedo acceder a la red 192.168.25.x/24 sin ningún problema.

Si estoy en casa y me conecto a través del cliente FortiGate VPN IPsec a la sede central, puedo acceder a la red 192.168.10.x/24, pero no puedo acceder a la 192.168.25.x/24 red.

Lo que he probado hasta ahora .:

  1. Política de firewall para permitir el tráfico desde la red clientvpn (10.10.10.x/24) a la red 192.168.25.x/24 y viceversa.
  2. Agregar una ruta estática en mi PC, para que la PC intente acceder la 192.168.25.x/24 red a través de 10.10.10.1 (FortiGate).

Traceroute se mostrará en ly * * * en el proceso para llegar a la red 192.168.25.x/24.

¿Alguna idea?

He intentado utilizar la búsqueda, pero no pude encontrar nada similar.

Comentarios

  • Gracias. Didn ' No lo sé, pensé que estaría bien preguntar aquí.
  • ¿Alguna respuesta te ayudó? Si es así, debes aceptar la respuesta para que el La pregunta no ' no sigue apareciendo para siempre, buscando una respuesta. Alternativamente, puede proporcionar su propia respuesta y aceptarla.

Answer

Puede probar una solución sencilla: cuando se conecte a través de FortiClient, NAT su dirección IP de origen al rango de la red HQ. Para esto, habilite «NAT» en la política del túnel del cliente a HQ_LAN. A partir de este momento, su cliente será tratado como cualquier host en la red HQ, incluido el enrutamiento y la vigilancia a la red de sucursales.

Como alternativa, podría construir una segunda fase2 solo para la red 10.10.10.x, en ambos lados del túnel HQ-BR, agregar esta red a las políticas del túnel en ambos lados y agregar rutas en Branch y en la PC cliente. Ese último requisito casi siempre justifica la NAT.

Respuesta

Puede haber varios problemas, primero elimine la ruta estática en el cliente VPN, si la ruta no está allí, el problema está en otra parte. Publicar la tabla de enrutamiento mientras está conectado a VPN (route PRINT).

Supongo que no está usando túnel dividido para el cliente VPN y anuncia una ruta predeterminada, ¿verdad? Debería estar en la tabla de enrutamiento cuando esté conectado.

Luego verifique si ha definido la red 10.10.10.x / 24 en la fase 2 de la HQ-Branch VPN en ambos lados como para que se comunique directamente (sin NAT), DEBE estar allí.

1.) Para conocer las políticas, compruebe si tiene las interfaces de origen y destino correctas; la fuente debe ser ssl. Interfaz VPN IPSec raíz (o equivalente) y rama de destino

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *