iT邦幫忙

0

請問有關Fortigate 80C 設定IPSec VPN 問題

vpn fortigate ipsec
edras 2011-10-07 14:26:3430125 瀏覽

  • 分享至 

  • xImage

各位好:想請教有關Fortigate 80C 設定Site to Site VPN 問題
架構:
Offfice to IDC 機房建立Site to Site VPN
Office 端設備: F-80C
IDC 端設備: Sonicwall UTM

  1. 已經建立好IPSec > Phase1 , Phase2
  2. 已經建立好 Address IP (兩端的網段)
  3. 建立Policy
    建立Office to IDC 的Policy > Action 選擇IPSec , Tunnel

問題 :

  1. 在建立IDC to Office 的Policy 時, 沒有Tunnel 可以選擇

請問現在Policy 是否只要建立一筆就好?
因為對80C的設定不太熟, 跟我之前常使用的Juniper 以及 Sonicwall 不太一樣
所以還請各位先進提供建議,謝謝

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

12
msit
iT邦高手 1 級 ‧ 2011-10-07 15:07:09
最佳解答

我的100A對80C 的IPsec VPN,是設定一筆In-->wan的Policy就OK了。
測試階段,會先看互相是否有session產生,基本上對應正確,很快就會上去了。
ray大師說的那兩篇真的蠻好用,原廠說明書很多可以參考。

看更多先前的回應...收起先前的回應...
edras iT邦新手 4 級 ‧ 2011-10-07 15:17:14 檢舉

您好:
我也是參考了很多文件,看來設定應該是OK,但就是沒辦法生效
Monitor VPN 也沒有任何的Session 產生, Ping 也不通
因為IDC 那台SonicWall UTM 也有設定另一組Site to Site VPN 跟另一間公司互連
對方使用的也是SonicWall 的設備,所以Site to Site VPN 設定起來就通了
但公司這台FortiGate 就是沒辦法跟IDC 的SonicWall 設備互通
謝謝ˋ

msit iT邦高手 1 級 ‧ 2011-10-07 15:51:25 檢舉

session一定要先產生才會連結成功
確認IDC的policy有正確嗎?網段與另一間公司是否有衝突,policy順序是否有在前面。
Phase2 快速模式選擇 的來源位址與目的位址可以把網段輸入看看。

msit iT邦高手 1 級 ‧ 2011-10-07 15:53:42 檢舉

先看兩地的session,是否有其他的Policy,讓那些session先跑了,如果有就是Policy順序的問題。

edras iT邦新手 4 級 ‧ 2011-10-07 16:22:27 檢舉

您好:

  1. IDC 的UTM Policy 優先順序是在上面
  2. 與另一組VPN 的網段不同,如圖所示
  3. 剛剛已經輸入,但似乎沒幫助
    我從IDC UTM 檢測流量,有送封包到F-80C 去, 但Receive 的封包數是0
    謝謝

msit iT邦高手 1 級 ‧ 2011-10-07 16:37:55 檢舉

session一開始會是實體IP 跑IKE PORT 500或4500等,這部分session要先看到才表示有互連到。Fortigate 80C是否有接收到先確認。

msit iT邦高手 1 級 ‧ 2011-10-07 16:45:49 檢舉

上面的紅圈是 IPsec互通了 下面的圈則是兩網段互通的Data,才會走Policy。

edras iT邦新手 4 級 ‧ 2011-10-07 17:14:21 檢舉

您好:
目前查看Log如下,似乎兩台設備都有在進行VPN連線動作,但封包會被Drop掉
謝謝

登入發表回應
14
Ray
iT邦大神 1 級 ‧ 2011-10-07 14:52:01

這裡有一篇快速設定的教學:
快速設定Fortigate Site to Site IPEC VPN
原廠則有比較詳細的說明書:
FortiGate™ IPSec VPN Version 3.0 MR5

edras iT邦新手 4 級 ‧ 2011-10-07 15:14:42 檢舉

您好:
這兩篇我都有參考,目前我認為應該是只要設定Internal to WAN 的Policy 就可以了
但是另一篇FortiGate to SonicWall VPN Setup 文件是寫兩邊的Policy 都要設定
所以就很困惑
目前只有設定Office Lan to IDC Lan 的Policy, 但還是不Work
謝謝

登入發表回應
8
conandexter
iT邦研究生 1 級 ‧ 2011-10-07 16:24:05

您好!

如果不嫌棄簡體中文的話,可以參考一下:
http://support.fortinet.com.cn/document/fortigate_system.html

edras iT邦新手 4 級 ‧ 2011-10-07 16:51:40 檢舉

您好:
謝謝,這個網站昨天就有看過了,目前看來Fortigate 這邊的設定應該是沒問題的
謝謝

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22048
完賽人數
594
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙