Jag har lite problem. Jag har två webbplatser. HQ och Branch är båda anslutna via en plats-till-plats-VPN (IPsec).
HQ .: 192.168.10.x/24
Filial: 192.168.25.x/24
Om jag befinner mig i HQ-byggnaden och i 192.168.10.x/24
-nätverket kan jag komma åt 192.168.25.x/24
-nätverket utan problem.
Om jag är hemma och ansluter via FortiGate VPN IPsec-klient till huvudkontoret kan jag komma åt 192.168.10.x/24
nätverket, men jag kan inte nå 192.168.25.x/24
nätverk.
Vad jag hittills har försökt:
- Brandväggspolicy för att tillåta trafik från clientvpn-nätverk (
10.10.10.x/24
) till192.168.25.x/24
nätverket och bakåt. - Lägga till en statisk rutt på min dator så att datorn försöker komma åt
192.168.25.x/24
nätverket via10.10.10.1
(FortiGate).
Traceroute visas på ly * * *
på processen för att nå 192.168.25.x/24
nätverket.
Någon idé?
Jag har försökt använda sökningen men jag kunde inte hitta något liknande.
Kommentarer
- Tack. ' jag vet inte det, jag trodde att det skulle vara ok att fråga här.
- Hjälpte något svar dig? Om så är fallet bör du acceptera svaret så att frågan ' dyker inte upp för alltid och letar efter ett svar. Alternativt kan du ge ditt eget svar och acceptera det.
Svar
Du kan prova en enkel lösning: när du är ansluten via FortiClient, NAT, käll IP-adressen till HQ-nätverkets intervall. För detta aktiverar du ”NAT” i policyn från klienttunnel till HQ_LAN. Från och med den här tiden kommer din klient att behandlas som vilken värd som helst i HQ-nätverket, inklusive dirigering och polisarbete till filialnätverket.
Som ett alternativ kan du bygga en andra fas2 bara för 10.10.10.x-nätverket, på båda sidor av HQ-BR-tunneln, lägga till detta nätverk i tunnelpolicyerna på båda sidor och lägga till rutter i filialen och på klientdatorn. Det sista kravet motiverar nästan alltid NATting istället.
Svar
Det kan finnas flera problem, först bli av med den statiska vägen på VPN-klienten, om rutten inte är där är problemet någon annanstans. Lägg upp routingtabellen när du är ansluten till VPN (route PRINT).
Jag antar att du inte använder delad tunnel för klientens VPN och annonserar en standardrutt, eller hur? Det borde vara i routingtabellen när du är ansluten.
Kontrollera sedan om du har definierat nätverk 10.10.10.x / 24 i fas 2 i HQ-Branch VPN på båda sidor för att det ska kommunicera direkt (utan NAT), det MÅSTE vara där.
1.) För policyer kontrollera om du har rätt käll- och destinationsgränssnitt – källan ska vara ssl. root (eller motsvarande) och målgren IPSec VPN-gränssnitt