Ho un piccolo problema. Ho 2 siti. HQ e Branch sono entrambi collegati tramite una VPN da sito a sito (IPsec).

HQ .: 192.168.10.x/24 Branch .: 192.168.25.x/24

Se sono nelledificio HQ e nella rete 192.168.10.x/24, posso accedere alla rete 192.168.25.x/24 senza problemi.

Se sono a casa e mi connetto tramite il client FortiGate VPN IPsec alla sede centrale, posso accedere alla rete 192.168.10.x/24, ma non riesco a raggiungere 192.168.25.x/24 rete.

Quello che ho provato finora:

  1. Criterio firewall per consentire il traffico dalla rete clientvpn (10.10.10.x/24) alla rete 192.168.25.x/24 e viceversa.
  2. Aggiunta di una route statica sul mio PC, in modo che il PC proverà ad accedere la rete 192.168.25.x/24 tramite 10.10.10.1 (FortiGate).

Traceroute verrà visualizzato su ly * * * sul processo per raggiungere la rete 192.168.25.x/24.

Qualche idea?

Ho provato a utilizzare la ricerca, ma non sono riuscito a trovare nulla di simile.

Commenti

  • Grazie. Didn ' Non lo so, ho pensato che sarebbe stato giusto chiedere qui.
  • Qualche risposta ti ha aiutato? In tal caso, dovresti accettare la risposta in modo che il la domanda non ' continua a comparire per sempre, cercando una risposta. In alternativa, puoi fornire la tua risposta e accettarla.

Risposta

Potresti provare una soluzione semplice: quando sei connesso tramite FortiClient, NAT il tuo indirizzo IP sorgente allintervallo di rete HQ. A tal fine, abilitare “NAT” nella policy dal tunnel client a HQ_LAN. Da questo punto in poi, il tuo cliente sarà trattato come un qualsiasi host sulla rete HQ, incluso il routing e il monitoraggio della rete di filiali.

In alternativa, potresti creare una seconda fase2 solo per la rete 10.10.10.x, su entrambi i lati del tunnel HQ-BR, aggiungere questa rete alle politiche del tunnel su entrambi i lati e aggiungere percorsi in Branch e sul PC client. Questultimo requisito quasi sempre giustifica invece il NAT.

Risposta

Potrebbero esserci diversi problemi, prima elimina la route statica su il client VPN, se il percorso non è lì, il problema è altrove. Pubblica la tabella di routing mentre sei connesso alla VPN (route PRINT).

Presumo che tu non stia usando lo split tunneling per la VPN client e pubblicizzi una route predefinita, giusto? Dovrebbe essere nella tabella di routing quando sei connesso.

Quindi controlla se hai definito la rete 10.10.10.x / 24 nella fase 2 della VPN HQ-Branch su entrambi i lati in quanto per comunicare direttamente (senza NAT), DEVE essere presente.

1.) Per le policy controlla se hai le interfacce sorgente e destinazione corrette – la sorgente dovrebbe essere ssl. root (o equivalente) e interfaccia VPN IPSec del ramo di destinazione

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *