iT邦幫忙

0

有關Netscreen25互串IPSecVPN,兩條對外WAN設定問題

各位大大,小弟有一個問題,查詢了很多資訊後,還是找不到解答。
所以來這邊發問,狀況如下:
公司環境,台北與大陸廠兩邊各一台Netscreen25,目前互相用政策對政策的VPN連接,連線沒有問題。
但現在台北變兩條對外,設定好後,會發生"大陸廠那邊PING回來會掉封包" ,台北過去的封包都正常。
我把台北的線抽掉一條,又會變正常,感覺上是大陸廠那邊過來的封包,會找不到進來的路。
這該怎麼設定呢?(不過,不是已經在政策對政策的VPN上面,就設定好對應的線路了嗎!?)

假設台北環境設定如下:
ethernet1 192.168.1.1 Trust Layer3
ethernet3 1.1.1.1 Untrust Layer3 (Gateway 1.1.1.254)
ethernet4 2.2.2.2 Untrust Layer3 (Gateway 2.2.2.254)
PS.ethernet4 是新增的線路

假設大陸環境設定如下:
ethernet1 192.168.2.1 Trust Layer3
ethernet3 3.3.3.3 Untrust Layer3 (Gateway 3.3.3.254)

PS.先幫小弟解決上面的問題吧,好困擾啊~~~~ XD

後話:
小弟本來打算是要把新增的線路,單獨變成VPN的線路使用。
將新增的線路Zone改成VPN後,對外Routing的部份,有設定0.0.0.0,2.2.2.254,ethernet4
ping_168.95.1.1,會發現掉封包…
假設台北環境設定如下:
ethernet1 192.168.1.1 Trust Layer3
ethernet3 1.1.1.1 Untrust Layer3 (Gateway 1.1.1.254)
ethernet4 2.2.2.2 VPN Layer3 (Gateway 2.2.2.254)
PS.ethernet4 是新增的線路

xxoo1122 iT邦新手 3 級 ‧ 2013-03-31 13:19:10 檢舉
你請大陸廠那邊PING一下,如果是一個通一個不通,一個又通一個又不通,這就是路由的問題,再調整一下即可。
大大,我Ping的話。台北到大陸是ping都正常,不會掉封包。但是從大陸那邊ping過來的話,會一下通一下不通。我大概知道是路由的問題,但是不知道怎麼設定調整。
快教教我吧~!

1 個回答

4
jackwan
iT邦研究生 4 級 ‧ 2013-03-29 13:23:07
最佳解答

看沒有很懂, 半猜測的回答,
台北端是否有一條routing如下:
192.168.2.0 255.255.255.0 gw 192.168.1.1(語法請自行斟酌),
讓台北端知道 192.168.2 來的封包由192.168.1.1 回去.

不好意思,我有附上了Routing那邊的設定,可以請您幫我看看嗎?
剛我照您的說法,去Trust-vr那邊設定 192.168.2.0/24,0.0.0.0,ethernet1。
不過這樣子還是一樣,如果設192.168.2.0/24,192.168.1.1,ethernet1。會出現Error:Gateway 192.168.1.1 cannot be same as outgoing interface(ethernet1) ip

我要發表回答

立即登入回答