假設有三條固定IP線路各接上一台fortigate,
且使用IPSEC作VPN相連,
三條線路稱為A、B、C,
請問有辦法讓B及C上網時都須經過A才能連出去嗎?
也就是說A的fortigate可以管理到B及C的網路流量
已邀請的邦友 {{ invite_list.length }}/5
應該是在
政策&物件->物件->ip4V下設定(fortiOS 5.2)
設定B,C只能與A互連,其他接連接關閉。
A設定 A,B,C三個網域的ip都能上網。
以上只是推測。
三台之間走vpn,傳輸還是都是由各台的wan去,
如果真要強制,通常是設定政策路由
如附件圖強迫C上網時導向走往A的vpn通道,以上方式可以試看看,將流量導向A去,看能否正常上網
請問有辦法讓B及C上網時都須經過A才能連出去嗎?
關於版大的疑問,答案當然是肯定的
只是版大應該是想知道如何達成這個架構吧
因為給的資訊過少,小弟暫時認定版大熟習各OS版本有關IPsec VPN的設定
且由於這個問題的關鍵其實不在VPN的設定
而是有關路由的設定
所以小弟就暫時略過VPN的部分直接講設計的概念
當A-B,A-C做好IPsec VPN** (Route base)** 之後
其實觀察B與C的靜態路由會有0.0.0.0及VPN通道二筆
只要設定流量通通走VPN通道即可(用政策路由,或取消0.0.0.0改道VPN通道)
重點是到A這台的時候,要讓進來的VPN通道流量,能夠穿透轉走WAN
且要讓WAN往B,C的VPN通道路由要回指B,C網段
最後把相關的防火牆政策均正確開啟即可
由於篇幅有限及小弟文字描述能力不佳
若版大未能明白,建議尋求原設備供應廠商提供當面的操作與講解為宜
iThome鐵人賽
看影片追技術