site to site VPN無法連接後端設備

fortigate site to site vpn

driversky 2018-03-30 21:09:37 ‧ 11270 瀏覽

問題如圖
GW A:Fortigate 60E
GW B:Fortigate 100D
兩端建立site to sote VPN
要從client A RPD到client B無法連線
PC(192.168.1.2)可以ping 192.168.2.1，但無法ping 192.168.2.2
請問高手是否有遺漏甚麼會造成這樣的可能性

阿漢 iT邦研究生 5 級 ‧ 2018-03-31 08:48:14 檢舉

可以ping到192.168.2.1的話，代表VPN有通了
那應該就是policy沒開，請開VPN to LAN的policy
來源介面選 VPN tunnel interface ，目的就是你的lan

driversky iT邦新手 5 級 ‧ 2018-03-31 18:20:32 檢舉

Lan到VPN的policy我有設定雙向的accept了
應該是沒有遺漏
我會再確認看看
謝謝

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

WilliamHuang

iT邦研究生 1 級 ‧ 2018-03-30 21:54:33

【＊＊此則訊息已被站方移除＊＊】

mytiny

iT邦超人 1 級 ‧ 2018-03-30 22:42:31

請檢查兩方路由設定，切記，有去的路由設定，就需要在對方設定回去的路由
請檢查防火牆政策，如果未開通VPN介面對應到LAN，則網路也不會通
請參考以下影片做設定，FortiGate Cookbook - Site-to-Site IPsec

回應 3
分享
檢舉

driversky iT邦新手 5 級 ‧ 2018-03-31 18:19:33 檢舉

抱歉資訊提供不足
GW A的route有下了192.168.2.0/24 [10/0] is directly connected, VPN
GW B也下了192.168.1.0/24 [10/0] is directly connected, VPN
policy也設定了雙向的accept
所以不確定是不是還有哪裡沒有設定到
因為確認蠻多次的
該設定的應該都有設定了
VPN tunnel、policy、static route
所以才會想問問是否還有其他可能性

mytiny iT邦超人 1 級 ‧ 2018-04-01 06:06:30 檢舉

1.請核對一下FortiOS的版本，盡量更新到該版的最新
2.設備本身不會出錯，通常是設定某些地方遺漏了或疏忽了
3.如果可能，請供貨商到場幫你捉一下封包，看到底到哪裡過不去

其實樓主的問題很常在設VPN的情況下出現
最後通常是因為設定上有小地方疏忽或錯誤
樓主要真找不出錯誤，可以刪掉，用小弟提供影片中的內建精靈重作

driversky iT邦新手 5 級 ‧ 2018-04-01 07:33:32 檢舉

好的~~~~感謝大大

登入發表回應

林門神JanusLin

iT邦超人 1 級 ‧ 2018-03-31 08:30:14

FYI
1.電腦軟體Firewall沒開ICMP
2.電腦防毒擋不同區段
3.電腦Gateway沒設定正確
4.Firewall Policy沒開好
5.電腦網路卡壞了
6.電腦路由不正確(應該是包含在3
7.未知問題

回應 2
分享
檢舉

driversky iT邦新手 5 級 ‧ 2018-03-31 18:28:57 檢舉

1.有測試從Gateway以及同一網段的設備去ping，確認沒有被防火牆阻擋
2.微軟的防毒有這樣的設定嗎，我再確認看看
3.GW應該是沒有問題，因為一切網路連線都正常，只有VPN是無法連線
4.policy是以一個class C去做設定，設定錯誤的話應該會連GW都連不到
5.網路卡應該是正常的因為除了VPN的連線之外都正常
6.同4,路由也是以一個class C去做設定
7.所以上來求各位大大解惑

非常感謝提點