SITE to SITE VPN建立後為何就ping不到對方的firewall public ip address?

匿名 2012-02-01 15:10:46 ‧ 6917 瀏覽

分享至

請教各位大大,
我們公司有2個點透過INTERNET建立site to site VPN, 小弟有一個疑問, 為何當VPN tunnel建立後, 就互相ping不到對方FIREWALL的public ip address?

看更多先前的討論...收起先前的討論...

林門神JanusLin iT邦超人 1 級 ‧ 2012-02-01 17:15:18 檢舉

Firewall 廠牌型號??

匿名檢舉

一邊是Cisco ASA 5510 另一邊是 CheckPoint R70

林門神JanusLin iT邦超人 1 級 ‧ 2012-02-03 10:42:11 檢舉

tracert wan ip 試試
Wan Ping的Policy都是單獨開的

匿名檢舉

了解, 這部份已經有開啟. 我有測試過ASA對ASA是可以ping到, 問題可能是出在CP的處理方式可能不同, 有可能是某個設定卡到所導致. 但也有可能是CP的設計限制.

林門神JanusLin iT邦超人 1 級 ‧ 2012-02-06 12:23:05 檢舉

嗯

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

msit

iT邦高手 1 級 ‧ 2012-02-02 17:39:31

有沒有可能彼此對對方的public IP有其他設定policy或是項目，造成路由不知道要走哪一條。
先前遇過一個情況是VPN通了，可是ping不到對方主機，結果發現，這邊firewall有在其他port設定了該對方內部網段，但是沒使用該port。

回應 2
分享
檢舉

匿名檢舉

我正在懷疑是不是因為要送過去的icmp request封包因為沒被自己的firewall包在加密的tunnel內, 直接drop掉所導致. 正在研究中~

phl0722 iT邦好手 8 級 ‧ 2012-10-18 15:48:55 檢舉

既是要PING FIREWALL "PUBLIC IP"，一定不走TUNNEL，會走default route，然後由firewall nat outside interface去 ping 對方firewall public ip，回來時是否沒route table可循呢?或是對方firewall public interface 取消回應ICMP?

登入發表回應

chi0541

iT邦新手 4 級 ‧ 2012-02-03 08:40:49

先從兩方面來看，該機器設備是否提供VPN TRUNK的設計；如果有，是否是設定不正確所導致。如果沒有，就無法做設定。
舉例：vpn trunk的設定
A SITE 設備位置內部網段:192.168.0.1
B SITE 設備位置內部網段:192.168.10.1
A SITE A-TRUNK-TO-B設置
從本地端 192.168.0.0/255.255.255.0
到遠端B SITE 192.168.10.0/255.255.255.0
通道指定為A 設備您的VPN SSL加密的設定名稱
相反的
B SITE B-TRUNK-TO-A設置
從本地端 192.168.10.0/255.255.255.0
到遠端B SITE 192.168.0.0/255.255.255.0
通道指定為B 設備您的VPN SSL加密的設定名稱
接著需要到您的A&B的網路管制條例去做設定
是單向還是雙向則看您的需求去下定義，個人下法是做雙向但由一方做PORT的管制(只限需求PORT的開放)，看需求啦！全開放除非能非常確定病毒的掌控，否則B SITE那端有病毒發生時，也會傳到A SITE這端。提供您參考。