iT邦幫忙

0

VPN建立連線正常,但是NAS、Mail無法連線?

vpn

請問IT版上各位大哥,小弟目前遇到一個問題,就是A公司有2台防火牆分別為watchguard MX500與fortinet 100型號的防火牆,B公司有watchguard MX500型號,現在狀況是watchguard防火牆部分有建立VPN部分,設定有連線成功,但是連回A公司要尋找NAS或是Mail無法連線成功,A公司2台防火牆分別使用不同的外點IP,NAS、Mail的Gateway都設定在192.168.100.254 fortinet這台防火牆上面,但是vpn設定在watchguard這台防火牆,是否有辦法不變動原A公司的環境設定連線。
備註:A公司原先環境fortinet、NAS、Mail2、A公司新加入watchguard設備、B公司新加入watchguard設備
附圖:http://ithelp.ithome.com.tw/upload/images/20161028/20060286H0S64EGTIX.jpg

1 個回答

0
做工仔人!
iT邦大師 1 級 ‧ 2016-10-28 12:09:21

在cisco 上設routing .192.168.101.0/24 gw為 192.168.100.90 就好了 !!
樓主的問題只是沒有設定"固定路由"所造成的.設設就好了 !!
也可以設在 fortinet 100 上.

看更多先前的回應...收起先前的回應...
kimemebox iT邦新手 1 級 ‧ 2016-10-28 13:21:08 檢舉

感謝大哥,最大的問題就是不許動到Cisco與fortinet上面的設定,我才想不出辦法上來就求助的........A公司上面的要求。
也感謝回答

zyman2008 iT邦大師 7 級 ‧ 2016-10-28 13:27:50 檢舉

不能動網路設備路由,那就在Server/NAS上加了.

zyman2008 iT邦大師 7 級 ‧ 2016-10-28 13:32:33 檢舉

看錯了,cisco設備是L3的話.
那就想辦法在Server上撥VPN到wtachguard MX500,跳過cisco的routing.
全部由Watchguard MX500控制去回的路由.

kimemebox iT邦新手 1 級 ‧ 2016-10-28 13:37:41 檢舉

忘了補充一點....就是A公司原環境cisco、fortinet、NAS、Server部分的設定都不准去動到,我才想破頭不知道該怎麼設定了,也感謝回答。

如ZYMAN2008所言:直接在 mail server 及 NAS 上加 Routing 也是可行.

mail server及 nas的os是什麼?

kimemebox iT邦新手 1 級 ‧ 2016-10-28 13:56:43 檢舉

感謝大頭與zyman2008 2位大哥回答,我也想過要動Mail Server與NAS納編新增加路由導向192.168.100.90那邊,但A公司上面的意思要只能動到wtachguard的設備做互通動作,不許動到其他設備的設定,也感謝2位的回覆。

kimemebox iT邦新手 1 級 ‧ 2016-10-28 14:00:05 檢舉

Mail server是exchange 2003 NAS是QANP 419型號 ,NAS又做網頁代管,閘道設定都是從fortinet這邊192.168.100.254出去,Exchange Web也是,所以A公司不希望動到設定方式,怕會有問題。

linux 加routing 方式:
route add 192.168.101.0 netmask 255.255.255.0 192.168.100.90
windows :
route ADD 192.168.101.0 MASK 255.255.255.0 192.168.100.90

kimemebox iT邦新手 1 級 ‧ 2016-10-28 14:04:42 檢舉

感謝,我測試看看。

如果只動 wtachguard 的設定.就不可能會做到.
因為192.168.101.0的封包去到 MAIL 及 NAS 後,MAIL 及 NAS要回去的封包是根據MAIL 及 NAS 的GATWAYE及CISCO上的路由決定的.
但是這些設備上都不知道要去 192.168.101.0 的封包"應該"要轉到 192.168.100.90的設備上.
所以不可能會通.
如果A公司的MIS還是"堅持"只可以改 wtachguard 上的設定.那這就是"政治事件"不是"技術問題" . 請老闆出面協調吧 !!

kimemebox iT邦新手 1 級 ‧ 2016-10-28 14:15:18 檢舉

感謝大頭,我在跟A公司的人協調看看了。
也感謝ZYMAN2008大哥的協助。

如果協調成功.
第一選擇:加在cisco 上.(必須cisco 是L3的設備)-路徑最短
第二選擇:加在fortinet 100 上.-會增加CISCO 的LOADING
第三選擇:才是加在MAIL 及 NAS上.-以後可能會有維護上的困擾

kimemebox iT邦新手 1 級 ‧ 2016-10-28 14:54:32 檢舉

感謝大頭大哥,等A公司那邊的回應了。

zyman2008 iT邦大師 7 級 ‧ 2016-10-28 19:02:40 檢舉

突然想到,
B公司到A公司Watchguard MX500出來時,做Source NAT成192.168.100.X的IP address.
這樣可以解決,從B公司可以存取A公司的server的問題.
但是解不了A公司要主動連B公司網路的問題,除非A這邊IP數量夠多,可以做1對1 NAT對應.

kimemebox iT邦新手 1 級 ‧ 2016-10-28 20:05:33 檢舉

感謝zyman2008大哥回答,我測試看看能否行得通。

我要發表回答

立即登入回答