iT邦幫忙

0

SITE to SITE VPN建立後為何就ping不到對方的firewall public ip address?

匿名 2012-02-01 15:10:466936 瀏覽
  • 分享至 

  • xImage

請教各位大大,
我們公司有2個點透過INTERNET建立site to site VPN, 小弟有一個疑問, 為何當VPN tunnel建立後, 就互相ping不到對方FIREWALL的public ip address?

看更多先前的討論...收起先前的討論...
Firewall 廠牌型號??
匿名 檢舉
一邊是Cisco ASA 5510 另一邊是 CheckPoint R70
tracert wan ip 試試
Wan Ping的Policy都是單獨開的
匿名 檢舉
了解, 這部份已經有開啟. 我有測試過ASA對ASA是可以ping到, 問題可能是出在CP的處理方式可能不同, 有可能是某個設定卡到所導致. 但也有可能是CP的設計限制.
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
msit
iT邦高手 1 級 ‧ 2012-02-02 17:39:31

有沒有可能彼此對對方的public IP有其他設定policy或是項目,造成路由不知道要走哪一條。
先前遇過一個情況是VPN通了,可是ping不到對方主機,結果發現,這邊firewall有在其他port設定了該對方內部網段,但是沒使用該port。

匿名 檢舉

我正在懷疑是不是因為要送過去的icmp request封包因為沒被自己的firewall包在加密的tunnel內, 直接drop掉所導致. 正在研究中~

phl0722 iT邦好手 8 級 ‧ 2012-10-18 15:48:55 檢舉

既是要PING FIREWALL "PUBLIC IP",一定不走TUNNEL,會走default route,然後由firewall nat outside interface去 ping 對方firewall public ip,回來時是否沒route table可循呢?或是對方firewall public interface 取消回應ICMP?

0
chi0541
iT邦新手 4 級 ‧ 2012-02-03 08:40:49

先從兩方面來看,該機器設備是否提供VPN TRUNK的設計;如果有,是否是設定不正確所導致。如果沒有,就無法做設定。
舉例:vpn trunk的設定
A SITE 設備位置 內部網段:192.168.0.1
B SITE 設備位置 內部網段:192.168.10.1
A SITE A-TRUNK-TO-B設置
從本地端 192.168.0.0/255.255.255.0
到遠端B SITE 192.168.10.0/255.255.255.0
通道 指定為A 設備您的VPN SSL加密的設定名稱
相反的
B SITE B-TRUNK-TO-A設置
從本地端 192.168.10.0/255.255.255.0
到遠端B SITE 192.168.0.0/255.255.255.0
通道 指定為B 設備您的VPN SSL加密的設定名稱
接著需要到您的A&B的網路管制條例去做設定
是單向還是雙向則看您的需求去下定義,個人下法是做雙向但由一方做PORT的管制(只限需求PORT的開放),看需求啦!全開放除非能非常確定病毒的掌控,否則B SITE那端有病毒發生時,也會傳到A SITE這端。提供您參考。

匿名 檢舉

感謝你的建議, 老實說目前也另外在考慮建vpn trunk來備援, 避免因為單一實體線發生故障所導致連線問題.

我要發表回答

立即登入回答