iT邦幫忙

0

Fortigate IPSec功能疑問

假設有三條固定IP線路各接上一台fortigate,
且使用IPSEC作VPN相連,
三條線路稱為A、B、C,
請問有辦法讓B及C上網時都須經過A才能連出去嗎?
也就是說A的fortigate可以管理到B及C的網路流量

0
shing_pascal
iT邦新手 5 級 ‧ 2016-06-21 15:30:43

應該是在
政策&物件->物件->ip4V下設定(fortiOS 5.2)
設定B,C只能與A互連,其他接連接關閉。
A設定 A,B,C三個網域的ip都能上網。
以上只是推測。

1
阿漢
iT邦新手 1 級 ‧ 2016-06-21 17:59:33

三台之間走vpn,傳輸還是都是由各台的wan去,

如果真要強制,通常是設定政策路由

如附件圖強迫C上網時導向走往A的vpn通道,以上方式可以試看看,將流量導向A去,看能否正常上網

http://ithelp.ithome.com.tw/upload/images/20160621/20100265ZRqQ0zRFM9.jpg

http://ithelp.ithome.com.tw/upload/images/20160621/20100265C5SniAlPXX.jpg

qaz11223 iT邦新手 5 級 ‧ 2016-06-22 17:04:55 檢舉

123

qaz11223 iT邦新手 5 級 ‧ 2016-06-22 17:06:54 檢舉

感謝阿漢分享設定,
嘗試此設定後在A的Fortigate流量記錄上沒有B與C的流量,
請問有其他方式可驗證設定是否成功嗎?

阿漢 iT邦新手 1 級 ‧ 2016-06-23 22:29:14 檢舉

請問設定後可否上網? 如果不行請在A firewall也加一條政策路由

進入介面就選擇C的VPN通道,出去介面則選擇A 的WAN

設定好路由,policy也要設定喔,這兩條的政策路由,都要搭配policy要允許通過

0
mytiny
iT邦大師 1 級 ‧ 2016-06-21 23:25:40

請問有辦法讓B及C上網時都須經過A才能連出去嗎?

關於版大的疑問,答案當然是肯定的

只是版大應該是想知道如何達成這個架構吧

因為給的資訊過少,小弟暫時認定版大熟習各OS版本有關IPsec VPN的設定

且由於這個問題的關鍵其實不在VPN的設定

而是有關路由的設定

所以小弟就暫時略過VPN的部分直接講設計的概念

當A-B,A-C做好IPsec VPN** (Route base)** 之後

其實觀察B與C的靜態路由會有0.0.0.0及VPN通道二筆

只要設定流量通通走VPN通道即可(用政策路由,或取消0.0.0.0改道VPN通道)

重點是到A這台的時候,要讓進來的VPN通道流量,能夠穿透轉走WAN

且要讓WAN往B,C的VPN通道路由要回指B,C網段

最後把相關的防火牆政策均正確開啟即可

由於篇幅有限及小弟文字描述能力不佳

若版大未能明白,建議尋求原設備供應廠商提供當面的操作與講解為宜

我要發表回答

立即登入回答