iT邦幫忙

0

FortiGate如何跨過小烏龜建IPSec,但不會影響到其他家人上網及MOD?

  • 分享至 

  • xImage

目標只有1個:A連到B使用IPSec

不知道能不能在不改動P874+ROUTER+MOD三者的位置時
把FG2改為PPPoE硬撥+P874改橋接?
因為ROUTER和MOD的IP不知道能不能由FG2發
請高手指教要如何設定?

CLF iT邦新手 3 級 ‧ 2012-06-28 10:05:47 檢舉
這種架構為什麼要跑IPSec ?
用SSLVPN 不是比較方便嗎?
如果要作到 side2side 的連接..至少有一方要有實體IP(最好是固定IP)才比較可行吧.
Starbucks iT邦新手 5 級 ‧ 2012-06-28 11:26:54 檢舉
因為SSL不能做Site-to-site
CLF iT邦新手 3 級 ‧ 2012-06-28 14:38:36 檢舉
既然是要作 Site-to-site 不是在2個WAN端建 IPSEC 就好了嗎~
FG2 只要有一個實體IP就行了
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

4
cmwang
iT邦大師 1 級 ‧ 2012-06-27 09:09:25
最佳解答

CHT的P874 default config有同時開NAT和bridge,對不須要P874做NAT的設備而言,自行跑PPPoE就可以直接拿到public IP了(i.e.自己跑PPPoE的話,IP sharing/FW愛怎麼玩就怎麼玩),至於MOD還是直接接P874比較實在(MOD是跑固定的private IP,又牽涉到IP multicast,放到IP sharing/FW後面老實說有點沒事找事幹OrzOrz)....

Starbucks iT邦新手 5 級 ‧ 2012-06-27 11:45:27 檢舉

請教C大:

上圖MOD架構,ATU-R指的就是P874嗎?
如果是的話(因為你說MOD吃Private IP)

br_0_0_1_2指的應該就是MOD了吧?
你指的"對不須要P874做NAT的設備"應該就是指FG2的PPPoE Dial-up功能吧?我可以直接用PPPoE在FG2而不需要關掉P874的PPPoE嗎?
謝謝!!!

Starbucks iT邦新手 5 級 ‧ 2012-06-27 11:58:33 檢舉


Multicast的部分預設是開啟的,應該不會影響到MOD

cmwang iT邦大師 1 級 ‧ 2012-06-27 15:41:24 檢舉

csintheworld提到:
br_0_0_1_2指的應該就是MOD了吧?
你指的"對不須要P874做NAT的設備"應該就是指FG2的PPPoE Dial-up功能吧?我可以直接用PPPoE在FG2而不需要關掉P874的PPPoE嗎?
謝謝!!!

那個br_0_0_1_2就是bridge mode,可以讓LAN端MOD/PPPoE的traffic直接bridge到VDSL上,所以不必關P874的PPPoE/NAT,client還是可以自己跑PPPoE拿到public IP的....

4
msit
iT邦高手 1 級 ‧ 2012-06-26 14:51:55

以下假設可以試試
請問P874到FG2該段,P874您是否可以進入設定
假設可以,如果P874該段有內網192.168.1.0/24
然後FG2的WAN,設定一個192.168.1.X的IP,與P874的一個LAN對接

P874如果可以設定virtual IP對應,把實體IP Mapping到192.168.1.X
P874如果有Policy設定,就讓FG1的In跟OUT封包,都能夠對應IKE Port

FG2再做IPsec看看

看更多先前的回應...收起先前的回應...
Starbucks iT邦新手 5 級 ‧ 2012-06-27 00:38:33 檢舉

對應是可以做到,但試了老半天還是無法成功建立通道

要越過NAT做IPSEC真的是不可能的任務啊...我果然還是想太多了XD

Starbucks iT邦新手 5 級 ‧ 2012-06-27 00:48:16 檢舉

FG2的IPSEC PHASE1指向的目標為對面FG1的WAN埠,但FG1的PHASE1則是指向P874的WAN埠,開了P874的IKE埠還是失敗,我可能會不會是因為FG2的Router設了預設閘道0.0.0.0/0.0.0.0為192.168.1.1(P874內網管理IP)跟這個有關..

msit iT邦高手 1 級 ‧ 2012-06-27 08:36:48 檢舉

確認有Mapping實體IP,可能要看看IKE是否是4500或是其他Port,因為這邊用的也是兩層的設備,外層用法類似P874,但是比較像UTM的設備。
只是我用的是Mapping的功能,而Port是透過policy設定,並非NAT,所以外面的查詢該實體IP等同對應到FG2的WAN

Starbucks iT邦新手 5 級 ‧ 2012-06-27 11:51:21 檢舉

P874裡我找不到Mapping的功能耶..所以只用Port forwarding再無腦加了一個DMZ。另外我在想IPSec會不會用到SIP,也在ALG開一下Enable SIP。

我要發表回答

立即登入回答