目標只有1個:A連到B使用IPSec
不知道能不能在不改動P874+ROUTER+MOD三者的位置時
把FG2改為PPPoE硬撥+P874改橋接?
因為ROUTER和MOD的IP不知道能不能由FG2發
請高手指教要如何設定?
已邀請的邦友 {{ invite_list.length }}/5
CHT的P874 default config有同時開NAT和bridge,對不須要P874做NAT的設備而言,自行跑PPPoE就可以直接拿到public IP了(i.e.自己跑PPPoE的話,IP sharing/FW愛怎麼玩就怎麼玩),至於MOD還是直接接P874比較實在(MOD是跑固定的private IP,又牽涉到IP multicast,放到IP sharing/FW後面老實說有點沒事找事幹
)....
請教C大:
上圖MOD架構,ATU-R指的就是P874嗎?
如果是的話(因為你說MOD吃Private IP)
br_0_0_1_2指的應該就是MOD了吧?
你指的"對不須要P874做NAT的設備"應該就是指FG2的PPPoE Dial-up功能吧?我可以直接用PPPoE在FG2而不需要關掉P874的PPPoE嗎?
謝謝!!!
Multicast的部分預設是開啟的,應該不會影響到MOD
csintheworld提到:
br_0_0_1_2指的應該就是MOD了吧?
你指的"對不須要P874做NAT的設備"應該就是指FG2的PPPoE Dial-up功能吧?我可以直接用PPPoE在FG2而不需要關掉P874的PPPoE嗎?
謝謝!!!
那個br_0_0_1_2就是bridge mode,可以讓LAN端MOD/PPPoE的traffic直接bridge到VDSL上,所以不必關P874的PPPoE/NAT,client還是可以自己跑PPPoE拿到public IP的....
以下假設可以試試
請問P874到FG2該段,P874您是否可以進入設定
假設可以,如果P874該段有內網192.168.1.0/24
然後FG2的WAN,設定一個192.168.1.X的IP,與P874的一個LAN對接
P874如果可以設定virtual IP對應,把實體IP Mapping到192.168.1.X
P874如果有Policy設定,就讓FG1的In跟OUT封包,都能夠對應IKE Port
FG2再做IPsec看看
FG2的IPSEC PHASE1指向的目標為對面FG1的WAN埠,但FG1的PHASE1則是指向P874的WAN埠,開了P874的IKE埠還是失敗,我可能會不會是因為FG2的Router設了預設閘道0.0.0.0/0.0.0.0為192.168.1.1(P874內網管理IP)跟這個有關..
確認有Mapping實體IP,可能要看看IKE是否是4500或是其他Port,因為這邊用的也是兩層的設備,外層用法類似P874,但是比較像UTM的設備。
只是我用的是Mapping的功能,而Port是透過policy設定,並非NAT,所以外面的查詢該實體IP等同對應到FG2的WAN
P874裡我找不到Mapping的功能耶..所以只用Port forwarding再無腦加了一個DMZ。另外我在想IPSec會不會用到SIP,也在ALG開一下Enable SIP。
iThome鐵人賽
看影片追技術