少し問題があります。2つのサイトがあります。本社と支店はどちらも経由で接続されていますサイト間VPN(IPsec)。
本社:192.168.10.x/24
ブランチ:192.168.25.x/24
本社ビルと192.168.10.x/24
ネットワークにいる場合、問題なく192.168.25.x/24
ネットワークにアクセスできます。
自宅にいて、FortiGate VPN IPsecクライアントを介して本社に接続している場合、192.168.10.x/24
ネットワークにアクセスできますが、192.168.25.x/24
ネットワーク。
これまでに試したこと:
- clientvpnネットワークからのトラフィックを許可するファイアウォールポリシー(
10.10.10.x/24
)を192.168.25.x/24
ネットワークに接続し、逆にします。 - PCに静的ルートを追加して、PCがアクセスを試みるようにします。
10.10.10.1
(FortiGate)経由の192.168.25.x/24
ネットワーク。
Tracerouteはに表示されます。 ly * * *
192.168.25.x/24
ネットワークに到達するプロセスについて。
何かアイデアはありますか?
検索を使用してみましたが、類似したものが見つかりませんでした。
コメント
- ありがとうございます。 'わからないので、ここで質問しても大丈夫だと思いました。
- 何か答えが役に立ちましたか?もしそうなら、答えを受け入れて、質問は'永遠にポップアップし続けて答えを探しません。または、独自の答えを提供して受け入れることもできます。
回答
簡単な解決策を試すことができます。FortiClient経由で接続する場合は、送信元IPアドレスをHQネットワークの範囲にNAT変換します。このために、クライアントトンネルからHQ_LANへのポリシーで「NAT」を有効にします。この時点から、クライアントは、ブランチネットワークへのルーティングやポリシングを含め、HQネットワーク上のすべてのホストとして扱われます。
別の方法として、HQ-BRトンネルの両側に10.10.10.xネットワーク専用の2番目のフェーズ2を構築し、このネットワークを両側のトンネルポリシーに追加して、追加することができます。ブランチおよびクライアントPC上のルート。その最後の要件は、ほとんどの場合、代わりにNATを正当化します。
回答
いくつかの問題がある可能性があります。まず、静的ルートを削除します。 VPNクライアント、ルートが存在しない場合、問題は他の場所にあります。 VPNに接続しているときにルーティングテーブルをポストします(ルートPRINT)。
クライアントVPNにスプリットトンネリングを使用しておらず、デフォルトルートをアドバタイズしていると思いますか?接続するとルーティングテーブルに表示されます。
次に、HQ-Branch VPNのフェーズ2で、ネットワークが直接(NATなしで)通信するように、ネットワーク10.10.10.x / 24を定義したかどうかを確認します。 MUST が存在する必要があります。
1。)ポリシーについては、正しい送信元インターフェイスと宛先インターフェイスがあるかどうかを確認してください。ソースはsslである必要があります。ルート(または同等のもの)および宛先ブランチIPSecVPNインターフェース