Mam mały problem. Mam 2 lokalizacje. Centrala i oddział są połączone przez VPN typu site-to-site (IPsec).
HQ .: 192.168.10.x/24
Branch .: 192.168.25.x/24
Jeśli znajduję się w siedzibie głównej i w sieci 192.168.10.x/24
, mogę bez problemu uzyskać dostęp do sieci 192.168.25.x/24
.
Jeśli jestem w domu i łączę się przez klienta FortiGate VPN IPsec z centralą, mogę uzyskać dostęp do sieci 192.168.10.x/24
, ale nie mogę połączyć się z 192.168.25.x/24
sieć.
Czego próbowałem do tej pory .:
- Zasada zapory zezwalająca na ruch z sieci clientvpn (
10.10.10.x/24
) do sieci192.168.25.x/24
i odwrotnie. - Dodanie trasy statycznej na moim komputerze, aby komputer próbował uzyskać dostęp sieć
192.168.25.x/24
przez10.10.10.1
(FortiGate).
Traceroute będzie wyświetlane na ly * * *
w procesie uzyskiwania dostępu do sieci 192.168.25.x/24
.
Masz jakiś pomysł?
Próbowałem użyć wyszukiwania, ale nie mogłem znaleźć niczego podobnego.
Komentarze
- Dziękuję. Nie ' nie wiem, pomyślałem, że byłoby w porządku, aby o to zapytać.
- Czy jakaś odpowiedź ci pomogła? Jeśli tak, zaakceptuj odpowiedź, aby pytanie nie ' nie pojawia się w nieskończoność, szukając odpowiedzi. Możesz też podać własną odpowiedź i ją zaakceptować.
Odpowiedz
Mógłbyś wypróbować proste rozwiązanie: po połączeniu przez FortiClient, przeprowadź NAT źródłowy adres IP do zasięgu sieci HQ. W tym celu włącz „NAT” w zasadach od tunelu klienta do sieci HQ_LAN. Od tego momentu Twój klient będzie traktowany jako dowolny host w sieci centrali, łącznie z routingiem i kontrolą dostępu do sieci oddziałów.
Alternatywnie, możesz zbudować drugą fazę2 tylko dla sieci 10.10.10.x, po obu stronach tunelu HQ-BR, dodać tę sieć do zasad tunelu po obu stronach i dodać trasy w gałęzi i na komputerze klienckim. To ostatnie wymaganie prawie zawsze uzasadnia zamiast tego NATowanie.
Odpowiedź
Może być kilka problemów, najpierw pozbądź się trasy statycznej na klient VPN, jeśli nie ma trasy, problem występuje gdzie indziej. Publikuj tablicę routingu podczas połączenia z VPN (route PRINT).
Zakładam, że nie używasz dzielonego tunelowania dla VPN klienta i rozgłaszasz trasę domyślną, prawda? Powinna znajdować się w tablicy routingu po połączeniu.
Następnie sprawdź, czy zdefiniowałeś sieć 10.10.10.x / 24 w fazie 2 HQ-Branch VPN po obu stronach, aby komunikować się bezpośrednio (bez NAT), MUSI tam być.
1.) W przypadku zasad sprawdź, czy masz poprawne interfejsy źródłowe i docelowe – źródło powinno być ssl. root (lub odpowiednik) i interfejs IPSec VPN gałęzi docelowej