Minulla on vähän ongelmia. Minulla on 2 sivustoa. Sekä pääkonttori että haara ovat yhteydessä toisiinsa sivustojen välinen VPN (IPsec).

HQ: 192.168.10.x/24 Haara .: 192.168.25.x/24

Jos olen pääkonttorirakennuksessa ja 192.168.10.x/24 -verkossa, pääsen 192.168.25.x/24 -verkkoon ongelmitta.

Jos olen kotona ja muodostan yhteyden FortiGate VPN IPsec -asiakasohjelman kautta pääkonttoriin, pääsen 192.168.10.x/24 -verkkoon, mutta en pääse 192.168.25.x/24 verkko.

Mitä olen tähän mennessä kokeillut:

  1. Palomuurikäytäntö sallia liikenne asiakasvpn-verkosta (10.10.10.x/24) 192.168.25.x/24 -verkkoon ja palaa.
  2. Staattisen reitin lisääminen tietokoneelleni, jotta tietokone yrittää käyttää 192.168.25.x/24 -verkko 10.10.10.1 (FortiGate) kautta.

Traceroute näkyy ly * * * prosessista 192.168.25.x/24 -verkkoon pääsemiseksi.

Onko sinulla ideoita?

Olen yrittänyt käyttää hakua, mutta en löytänyt mitään vastaavaa.

Kommentit

  • Kiitos. Ei ' en tiedä sitä, ajattelin, että olisi hyvä kysyä täältä.
  • Auttoiko jokin vastaus sinulle? Jos on, sinun tulisi hyväksyä vastaus, jotta kysymys ei ' ei avaudu ikuisesti etsimällä vastausta. Vaihtoehtoisesti voit antaa oman vastauksesi ja hyväksyä sen.

Vastaa

Voit kokeilla helppoa ratkaisua: kun yhteys muodostetaan FortiClientin kautta, NAT lähde-IP-osoitteesi HQ-verkon alueelle. Ota tällöin käyttöön ”NAT” käytännössä asiakastunnelista HQ_LAN: iin. Tästä eteenpäin asiakasta kohdellaan kuten mitä tahansa pääkonttorin verkkoa, mukaan lukien reititys ja poliisitoiminta haaraverkkoon.

Vaihtoehtoisesti voit rakentaa toisen vaiheen 2 vain 10.10.10.x-verkkoa varten HQ-BR-tunnelin molemmille puolille, lisätä tämän verkon tunnelikäytäntöihin molemmin puolin ja lisätä reitit Branchissa ja asiakastietokoneella. Tämä viimeinen vaatimus oikeuttaa melkein aina NATtingin.

Vastaus

Voi olla useita ongelmia, ensin päästä eroon staattisesta reitistä VPN-asiakas, jos reittiä ei ole, ongelma on muualla. Lähetä reititystaulukko, kun olet yhteydessä VPN: ään (reitin PRINT).

Oletan, ettet käytä jaettua tunnelointia asiakkaan VPN: ssä ja mainostat oletusreittiä, eikö? Sen pitäisi olla reititystaulukossa, kun se on yhdistetty.

Tarkista sitten, oletko määrittänyt verkon 10.10.10.x / 24 HQ-Branch VPN: n vaiheessa 2 molemmilta puolilta, jotta se kommunikoi suoraan (ilman NAT: ta), se PITÄÄ olla siellä.

1.) Tarkista käytäntöjen osalta, onko sinulla oikeat lähde- ja kohdeliittymät – lähteen tulisi olla ssl. root (tai vastaava) ja kohdehaara IPSec VPN -rajapinta

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *