Am o problemă. Am 2 site-uri. HQ și sucursală sunt conectate prin un VPN site-to-site (IPsec).

HQ .: 192.168.10.x/24 Filială .: 192.168.25.x/24

Dacă mă aflu în clădirea HQ și în rețeaua 192.168.10.x/24, pot accesa rețeaua 192.168.25.x/24 fără probleme.

Dacă sunt acasă și mă conectez prin intermediul clientului FortiGate VPN IPsec la sediul central, pot accesa rețeaua 192.168.10.x/24, dar nu pot ajunge la 192.168.25.x/24.

Ce am încercat până acum .:

  1. Politica firewall pentru a permite traficul din rețeaua clientvpn (10.10.10.x/24) la rețeaua 192.168.25.x/24 și invers.
  2. Adăugarea unei rute statice pe computerul meu, astfel încât computerul să încerce să acceseze rețeaua 192.168.25.x/24 prin 10.10.10.1 (FortiGate).

Traceroute va fi afișat pe * * * în procesul de a ajunge la rețeaua 192.168.25.x/24.

Orice idee?

Am încercat să folosesc căutarea, dar nu am găsit nimic similar.

Comentarii

  • Mulțumesc. Nu ' nu știu asta, m-am gândit că ar fi bine să întreb aici.
  • Te-a ajutat vreun răspuns? Dacă da, ar trebui să accepți răspunsul astfel încât întrebarea nu ' continuă să apară pentru totdeauna, în căutarea unui răspuns. Alternativ, puteți oferi propriul răspuns și îl puteți accepta.

Răspuns

Ați putea încerca o soluție ușoară: atunci când sunteți conectat prin FortiClient, NAT adresa IP sursă la gama rețelei HQ. Pentru aceasta, activați „NAT” în politica de la tunelul client la HQ_LAN. Din acest moment, clientul dvs. va fi tratat ca orice gazdă din rețeaua HQ, inclusiv direcționarea și controlul către rețeaua de sucursale.

Ca alternativă, puteți construi o a doua fază2 doar pentru rețeaua 10.10.10.x, pe ambele părți ale tunelului HQ-BR, adăugați această rețea la politicile de tunel de pe ambele părți și adăugați rute în ramură și pe computerul client. Această ultimă cerință justifică aproape întotdeauna NATting în schimb.

Răspuns

Ar putea exista mai multe probleme, mai întâi scăpați de ruta statică de pe clientul VPN, dacă ruta nu este acolo, problema se află în altă parte. Postați tabelul de rutare în timp ce sunteți conectat la VPN (ruta PRINT).

Presupun că nu utilizați tuneluri divizate pentru VPN client și faceți publicitate unui traseu implicit, nu? Ar trebui să fie în tabelul de rutare atunci când sunteți conectat.

Apoi verificați dacă ați definit rețeaua 10.10.10.x / 24 în faza 2 a HQ-Branch VPN pe ambele părți, pentru ca aceasta să comunice direct (fără NAT), ea TREBUIE să fie acolo.

1.) Pentru politici verificați dacă aveți interfețe sursă și destinație corecte – sursa ar trebui să fie ssl. interfață VPN (sau echivalent) și destinație IPSec VPN

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *