iT邦幫忙

0

Fortigate Site to Site Ipsec 單向不通

匿名 2015-10-26 14:45:595773 瀏覽

我公司有兩個點,總公司(A)使用Fortigate 200B,分公司(B)使用Fortigate 60D。
我兩邊建立Fortigate Site to Site Ipsec,建立好後B點可以ping A點所有IP,也可以連接A點所有設備。
但是A點卻不能連接或ping B點的任何設備,使用tracert也只會到A點的防火牆就斷了。

版大,刪掉題目對幫忙寫過解答的人,感覺很受傷


+匿名

1 個回答

2
mytiny
iT邦大師 1 級 ‧ 2015-10-26 18:08:40
最佳解答

版大,刪掉題目對幫忙寫過解答的人,感覺很受傷

截圖上A的路由往100的VPN網段是要去哪裡?
B的地方100的網段是ssl.root,好像不是B的內網
還有,版大取VPN的命名也缺乏辨識性
建議您要不請廠商去做一下比較快
不然看手冊搞懂VPN的介面模式很花時間哦

看更多先前的回應...收起先前的回應...
匿名 檢舉

那篇手機打的錯誤百出,又不能修改只好重新PO文

A往100網段的VPN那條是由Fortigate自己建立的(備註60D的網段是192.168.100.0),VPN命名是Arthur(抱歉 這是我臨時設定的名稱)。
至於要去哪裡,我想你大概問的是閘道那邊,問題是Fortigate5.2並沒有向4一樣有設定閘道的地方,一但選擇ipsec就只有網這個port送網段資料,沒有欄位可以填閘道。

SSL.root???????這條是192.168.7.0網段的,是不同的地方。是給forticlient用的

我的問題是現在已經成功建立VPN,基本上60D網200B也都正確,但是200B就是對60D不通。

我也想找廠商,廠商是中華電信....你知道的,他們的工程師都....

匿名 檢舉

在60D上面他一樣也是只有網段網哪個ipsec port送而已,也是無法設定閘道,但是網路是通的,因為比較過兩邊設定,我更肯定我的設定應該是沒錯的~"~
60D跟Vigor 2960去做也都正常,唯獨跟200B做會...炯炯 這困擾我很久,最近工作比較不忙才拿出來詢問。

mytiny iT邦大師 1 級 ‧ 2015-10-27 09:53:40 檢舉

在Fortigate的IPsec VPN模式中,分為兩種
一是Interface Mode,一是Policy Mode
通常前者多用於各分點均為不同的網段
較為一般公司採用(版大公司應該也是)
其設定應注意各網段的定義、政策實施的套用
最重要是"靜態路由"的指定(沒有閘道填寫是正確的)
而其VPN定義的設定則相對單純(與各OS版本無關)

小弟曾做過兩地都有雙外線雙VPN的設定
發現非常容易在靜態路由及網段套用政策上有所疏漏
還請版大仔細檢查設定為念
提供以下設定的影片供您比對參考
https://www.youtube.com/watch?v=xVDaRU8iQHY

匿名 檢舉

好了,找到問題了!
經過跟fortigate 工程師討論後,發現問題出在政策路由上面。
200B當時有為了分流(共8個網段),有設定政策路由向外,由於我自己測試的時候沒有注意過優先順序問題,fortigate也是測試許久,才想到要是刪除既有政策呢?
最後結果是成功的,於是就開始往優先順序測試,事實證明沒錯@@。

靜態路由的部分就真的沒問題,完全在政策路由部分~~~~~~

我要發表回答

立即登入回答