少し問題があります。2つのサイトがあります。本社と支店はどちらも経由で接続されていますサイト間VPN(IPsec)。

本社:192.168.10.x/24ブランチ:192.168.25.x/24

本社ビルと192.168.10.x/24ネットワークにいる場合、問題なく192.168.25.x/24ネットワークにアクセスできます。

自宅にいて、FortiGate VPN IPsecクライアントを介して本社に接続している場合、192.168.10.x/24ネットワークにアクセスできますが、192.168.25.x/24ネットワーク。

これまでに試したこと:

  1. clientvpnネットワークからのトラフィックを許可するファイアウォールポリシー(10.10.10.x/24)を192.168.25.x/24ネットワークに接続し、逆にします。
  2. PCに静的ルートを追加して、PCがアクセスを試みるようにします。 10.10.10.1(FortiGate)経由の192.168.25.x/24ネットワーク。

Tracerouteはに表示されます。 ly * * * 192.168.25.x/24ネットワークに到達するプロセスについて。

何かアイデアはありますか?

検索を使用してみましたが、類似したものが見つかりませんでした。

コメント

  • ありがとうございます。 'わからないので、ここで質問しても大丈夫だと思いました。
  • 何か答えが役に立ちましたか?もしそうなら、答えを受け入れて、質問は'永遠にポップアップし続けて答えを探しません。または、独自の答えを提供して受け入れることもできます。

回答

簡単な解決策を試すことができます。FortiClient経由で接続する場合は、送信元IPアドレスをHQネットワークの範囲にNAT変換します。このために、クライアントトンネルからHQ_LANへのポリシーで「NAT」を有効にします。この時点から、クライアントは、ブランチネットワークへのルーティングやポリシングを含め、HQネットワーク上のすべてのホストとして扱われます。

別の方法として、HQ-BRトンネルの両側に10.10.10.xネットワーク専用の2番目のフェーズ2を構築し、このネットワークを両側のトンネルポリシーに追加して、追加することができます。ブランチおよびクライアントPC上のルート。その最後の要件は、ほとんどの場合、代わりにNATを正当化します。

回答

いくつかの問題がある可能性があります。まず、静的ルートを削除します。 VPNクライアント、ルートが存在しない場合、問題は他の場所にあります。 VPNに接続しているときにルーティングテーブルをポストします(ルートPRINT)。

クライアントVPNにスプリットトンネリングを使用しておらず、デフォルトルートをアドバタイズしていると思いますか?接続するとルーティングテーブルに表示されます。

次に、HQ-Branch VPNのフェーズ2で、ネットワークが直接(NATなしで)通信するように、ネットワーク10.10.10.x / 24を定義したかどうかを確認します。 MUST が存在する必要があります。

1。)ポリシーについては、正しい送信元インターフェイスと宛先インターフェイスがあるかどうかを確認してください。ソースはsslである必要があります。ルート(または同等のもの)および宛先ブランチIPSecVPNインターフェース

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です