Jeg har fått litt av et problem. Jeg har to nettsteder. HQ og Branch er begge koblet sammen via et sted-til-sted-VPN (IPsec).
HQ .: 192.168.10.x/24
Filial: 192.168.25.x/24
Hvis jeg er i HQ-bygningen og i 192.168.10.x/24
nettverket, kan jeg få tilgang til 192.168.25.x/24
nettverket uten problemer.
Hvis jeg er hjemme og kobler meg via FortiGate VPN IPsec-klient til hovedkontoret, kan jeg få tilgang til 192.168.10.x/24
nettverket, men jeg kan ikke nå 192.168.25.x/24
nettverk.
Det jeg har prøvd så langt:
- Brannmurpolicy for å tillate trafikk fra clientvpn-nettverk (
10.10.10.x/24
) til192.168.25.x/24
nettverket, og reverser. - Legger til en statisk rute på PC-en min, slik at PC-en vil prøve å få tilgang
192.168.25.x/24
nettverket via10.10.10.1
(FortiGate).
Traceroute vises på ly * * *
på prosessen for å nå 192.168.25.x/24
nettverket.
Noen ideer?
Jeg har prøvd å bruke søket, men jeg kunne ikke finne noe lignende.
Kommentarer
- Takk. Visste ikke ' ikke vet jeg det, jeg trodde det ville være greit å spørre her.
- Hjalp noe svar deg? I så fall bør du godta svaret slik at ' dukker ikke opp for alltid og leter etter svar. Alternativt kan du gi ditt eget svar og godta det.
Svar
Du kan prøve en enkel løsning: Når du er koblet til via FortiClient, NAT kildens IP-adresse til HQ-nettverkets rekkevidde. For dette, aktiver «NAT» i policyen fra klienttunnel til HQ_LAN. Fra dette tidspunktet vil klienten din bli behandlet som en hvilken som helst vert i HQ-nettverket, inkludert ruting og politistyring til filialnettverket.
Som et alternativ kan du bygge en andre fase2 bare for 10.10.10.x-nettverket, på begge sider av HQ-BR-tunnelen, legge til dette nettverket i tunnelpolitikken på begge sider, og legge til ruter i filial og på klient-PC-en. Det siste kravet rettferdiggjør nesten alltid NATting i stedet.
Svar
Det kan være flere problemer, først kvitt den statiske ruten på VPN-klienten, hvis ruten ikke er der, er problemet andre steder. Legg inn rutetabell mens du er koblet til VPN (rute UTSKRIFT).
Jeg antar at du ikke bruker delt tunneling for klienten VPN og annonserer en standardrute, ikke sant? Det burde være i rutetabellen når du er tilkoblet.
Sjekk så om du har definert nettverk 10.10.10.x / 24 i fase 2 av HQ-Branch VPN på begge sider for at det skal kommunisere direkte (uten NAT), det MÅ være der.
1.) For policyer, sjekk om du har riktige kilde- og destinasjonsgrensesnitt – kilden skal være ssl. root (eller tilsvarende) og destinasjonsgren IPSec VPN-grensesnitt