Estou com um pequeno problema. Tenho 2 sites. HQ e Filial estão conectados via uma VPN site a site (IPsec).

HQ .: 192.168.10.x/24 Filial: 192.168.25.x/24

Se eu estiver no prédio HQ e na rede 192.168.10.x/24, posso acessar a rede 192.168.25.x/24 sem problemas.

Se eu estiver em casa e me conectar através do cliente FortiGate VPN IPsec ao HQ, posso acessar a rede 192.168.10.x/24, mas não consigo acessar a 192.168.25.x/24 rede.

O que tentei até agora:

  1. Política de firewall para permitir o tráfego da rede clientvpn (10.10.10.x/24) para a rede 192.168.25.x/24 e reverter.
  2. Adicionando uma rota estática no meu PC, para que o PC tente acessar a 192.168.25.x/24 rede via 10.10.10.1 (FortiGate).

Traceroute será exibido em ly * * * no processo para alcançar a 192.168.25.x/24 rede.

Alguma ideia?

Tentei usar a pesquisa, mas não consegui encontrar nada semelhante.

Comentários

  • Obrigado. Não ' não sei, achei que não haveria problema em perguntar aqui.
  • Alguma resposta ajudou você? Se sim, você deve aceitar a resposta para que a pergunta não ' não fica sempre aparecendo à procura de uma resposta. Como alternativa, você pode fornecer sua própria resposta e aceitá-la.

Resposta

Você pode tentar uma solução fácil: quando conectado via FortiClient, efetue o NAT de seu endereço IP de origem para o intervalo da rede HQ. Para isso, habilite “NAT” na política do túnel do cliente para HQ_LAN. Deste ponto em diante, seu cliente será tratado como qualquer host na rede HQ, incluindo roteamento e policiamento para a rede secundária.

Como alternativa, você poderia construir uma segunda fase 2 apenas para a rede 10.10.10.x, em ambos os lados do túnel HQ-BR, adicionar esta rede às políticas do túnel em ambos os lados e adicionar rotas na filial e no PC cliente. Esse último requisito quase sempre justifica o NAT em vez disso.

Resposta

Pode haver vários problemas, primeiro livre-se da rota estática em o cliente VPN, se a rota não estiver lá, o problema está em outro lugar. Pós tabela de roteamento enquanto conectado à VPN (rota PRINT).

Presumo que você não esteja usando o túnel dividido para a VPN do cliente e anuncie uma rota padrão, certo? Ela deve estar na tabela de roteamento quando conectado.

Em seguida, verifique se você definiu a rede 10.10.10.x / 24 na fase 2 do HQ-Branch VPN em ambos os lados para se comunicar diretamente (sem NAT), DEVE estar lá.

1.) Para políticas, verifique se você tem as interfaces de origem e de destino corretas – a origem deve ser SSL. raiz (ou equivalente) e interface VPN IPSec de filial de destino

Deixe uma resposta

O seu endereço de email não será publicado. Campos obrigatórios marcados com *