Ich habe ein kleines Problem. Ich habe zwei Standorte. HQ und Branch sind beide über verbunden ein Site-to-Site-VPN (IPsec).

Hauptsitz: 192.168.10.x/24 Zweig: 192.168.25.x/24

Wenn ich mich im HQ-Gebäude und im 192.168.10.x/24 -Netzwerk befinde, kann ich problemlos auf das 192.168.25.x/24 -Netzwerk zugreifen.

Wenn ich zu Hause bin und über einen FortiGate VPN IPsec-Client eine Verbindung zum HQ herstelle, kann ich auf das 192.168.10.x/24 -Netzwerk zugreifen, aber das 192.168.25.x/24 Netzwerk.

Was ich bisher versucht habe:

  1. Firewall-Richtlinie, um Datenverkehr vom Client-VPN-Netzwerk zuzulassen (10.10.10.x/24) zum 192.168.25.x/24 -Netzwerk und umgekehrt.
  2. Hinzufügen einer statischen Route auf meinem PC, damit der PC versucht, darauf zuzugreifen Das Netzwerk 192.168.25.x/24 über 10.10.10.1 (FortiGate).

Traceroute wird angezeigt * * * über den Prozess zum Erreichen des 192.168.25.x/24 -Netzwerks.

Irgendeine Idee?

Ich habe versucht, die Suche zu verwenden, konnte aber nichts Ähnliches finden.

Kommentare

  • Vielen Dank ' Ich weiß es nicht, ich dachte, es wäre in Ordnung, hier zu fragen.
  • Hat Ihnen eine Antwort geholfen? Wenn ja, sollten Sie die Antwort akzeptieren, damit die Die Frage ' taucht nicht für immer auf und sucht nach einer Antwort. Alternativ können Sie Ihre eigene Antwort angeben und akzeptieren.

Antwort

Sie können eine einfache Lösung ausprobieren: Wenn Sie über FortiClient verbunden sind, NAT Ihre Quell-IP-Adresse mit dem Bereich des HQ-Netzwerks. Aktivieren Sie dazu „NAT“ in der Richtlinie vom Client-Tunnel zum HQ_LAN. Ab diesem Zeitpunkt wird Ihr Client als jeder Host im HQ-Netzwerk behandelt, einschließlich Routing und Überwachung zum Zweigstellennetzwerk.

Alternativ können Sie eine zweite Phase2 nur für das 10.10.10.x-Netzwerk auf beiden Seiten des HQ-BR-Tunnels erstellen, dieses Netzwerk zu den Tunnelrichtlinien auf beiden Seiten hinzufügen und hinzufügen Routen in Branch und auf dem Client-PC. Diese letzte Anforderung rechtfertigt fast immer stattdessen NATting.

Antwort

Es kann mehrere Probleme geben. Entfernen Sie zuerst die statische Route Wenn der VPN-Client nicht vorhanden ist, liegt das Problem an einer anderen Stelle. Post-Routing-Tabelle, während eine Verbindung mit VPN besteht (Route PRINT).

Ich gehe davon aus, dass Sie kein Split-Tunneling für das Client-VPN verwenden und eine Standardroute ankündigen, richtig? Sie sollte sich in der Routing-Tabelle befinden, wenn eine Verbindung besteht.

Überprüfen Sie dann, ob Sie in Phase 2 des HQ-Branch-VPN auf beiden Seiten das Netzwerk 10.10.10.x / 24 definiert haben, damit es direkt (ohne NAT) kommunizieren kann. MUSS vorhanden sein.

1.) Überprüfen Sie für Richtlinien, ob Sie über die richtigen Quell- und Zielschnittstellen verfügen – Quelle sollte ssl sein. IPSec-VPN-Schnittstelle für Root (oder gleichwertig) und Zielzweig

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.