Jai un petit problème. Jai 2 sites. Le siège et la succursale sont tous deux connectés via un VPN de site à site (IPsec).

Siège: 192.168.10.x/24 Branch .: 192.168.25.x/24

Si je suis dans le bâtiment du siège et dans le réseau 192.168.10.x/24, je peux accéder au réseau 192.168.25.x/24 sans problème.

Si je suis à la maison et que je me connecte via le client FortiGate VPN IPsec au siège, je peux accéder au réseau 192.168.10.x/24, mais je ne parviens pas à atteindre le 192.168.25.x/24 network.

Ce que jai essayé jusquà présent .:

  1. Politique de pare-feu pour autoriser le trafic du réseau clientvpn (10.10.10.x/24) sur le réseau 192.168.25.x/24, et inverser.
  2. Ajout dune route statique sur mon PC, afin que le PC essaie daccéder le réseau 192.168.25.x/24 via 10.10.10.1 (FortiGate).

Traceroute saffichera sur ly * * * sur le processus pour atteindre le réseau 192.168.25.x/24.

Une idée?

Jai essayé dutiliser la recherche, mais je nai rien trouvé de similaire.

Commentaires

  • Merci. Didn ' Je ne sais pas, jai pensé que ce serait correct de demander ici.
  • Une réponse vous a-t-elle aidé? Si oui, vous devriez accepter la réponse pour La question ' narrête pas dapparaître indéfiniment, à la recherche dune réponse. Vous pouvez également fournir votre propre réponse et laccepter.

Réponse

Vous pouvez essayer une solution simple: lorsque vous êtes connecté via FortiClient, NAT votre adresse IP source à la plage du réseau HQ. Pour cela, activez « NAT » dans la politique du tunnel client vers HQ_LAN. À partir de ce moment, votre client sera traité comme nimporte quel hôte du réseau HQ, y compris le routage et la régulation vers le réseau de la succursale.

Comme alternative, vous pouvez construire une deuxième phase2 juste pour le réseau 10.10.10.x, des deux côtés du tunnel HQ-BR, ajouter ce réseau aux politiques de tunnel des deux côtés, et ajouter routes dans Branch et sur le PC client. Cette dernière exigence justifie presque toujours le NAT à la place.

Réponse

Il peut y avoir plusieurs problèmes, commencez par vous débarrasser de la route statique sur le client VPN, si la route nest pas là, le problème est ailleurs. Poster la table de routage lorsque vous êtes connecté au VPN (route PRINT).

Je suppose que vous « nutilisez pas le tunneling fractionné pour le VPN client et annoncez une route par défaut, nest-ce pas? Elle devrait figurer dans la table de routage une fois connecté.

Ensuite, vérifiez si vous avez défini le réseau 10.10.10.x / 24 en phase 2 du VPN HQ-Branch des deux côtés quant à lui pour communiquer directement (sans NAT), il DOIT être là.

1.) Pour les politiques, vérifiez si vous avez des interfaces source et destination correctes – la source doit être ssl. Interface VPN IPSec racine (ou équivalent) et de la branche de destination

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *