iT邦幫忙

0

site to site VPN無法連接後端設備

https://ithelp.ithome.com.tw/upload/images/20180330/20108729so1TiPElNN.jpg問題如圖
GW A:Fortigate 60E
GW B:Fortigate 100D
兩端建立site to sote VPN
要從client A RPD到client B無法連線
PC(192.168.1.2)可以ping 192.168.2.1,但無法ping 192.168.2.2
請問高手是否有遺漏甚麼會造成這樣的可能性

阿漢 iT邦新手 1 級 ‧ 2018-03-31 08:48:14 檢舉
可以ping到192.168.2.1的話,代表VPN有通了
那應該就是policy沒開,請開VPN to LAN的policy
來源介面選 VPN tunnel interface ,目的就是你的lan
driversky iT邦新手 5 級 ‧ 2018-03-31 18:20:32 檢舉
Lan到VPN的policy我有設定雙向的accept了
應該是沒有遺漏
我會再確認看看
謝謝
WilliamHuang
iT邦研究生 1 級 ‧ 2018-03-30 21:54:33
【**此則訊息已被站方移除**】
1
mytiny
iT邦大師 1 級 ‧ 2018-03-30 22:42:31
  1. 請檢查兩方路由設定,切記,有去的路由設定,就需要在對方設定回去的路由
  2. 請檢查防火牆政策,如果未開通VPN介面對應到LAN,則網路也不會通
  3. 請參考以下影片做設定,FortiGate Cookbook - Site-to-Site IPsec
driversky iT邦新手 5 級 ‧ 2018-03-31 18:19:33 檢舉

抱歉資訊提供不足
GW A的route有下了192.168.2.0/24 [10/0] is directly connected, VPN
GW B也下了192.168.1.0/24 [10/0] is directly connected, VPN
policy也設定了雙向的accept
所以不確定是不是還有哪裡沒有設定到
因為確認蠻多次的
該設定的應該都有設定了
VPN tunnel、policy、static route
所以才會想問問是否還有其他可能性

mytiny iT邦大師 1 級 ‧ 2018-04-01 06:06:30 檢舉

1.請核對一下FortiOS的版本,盡量更新到該版的最新
2.設備本身不會出錯,通常是設定某些地方遺漏了或疏忽了
3.如果可能,請供貨商到場幫你捉一下封包,看到底到哪裡過不去

其實樓主的問題很常在設VPN的情況下出現
最後通常是因為設定上有小地方疏忽或錯誤
樓主要真找不出錯誤,可以刪掉,用小弟提供影片中的內建精靈重作

driversky iT邦新手 5 級 ‧ 2018-04-01 07:33:32 檢舉

好的~~~~感謝大大

0
門神JanusLin
iT邦超人 1 級 ‧ 2018-03-31 08:30:14

FYI
1.電腦軟體Firewall沒開ICMP
2.電腦防毒擋不同區段
3.電腦Gateway沒設定正確
4.Firewall Policy沒開好
5.電腦網路卡壞了
6.電腦路由不正確(應該是包含在3
7.未知問題

driversky iT邦新手 5 級 ‧ 2018-03-31 18:28:57 檢舉

1.有測試從Gateway以及同一網段的設備去ping,確認沒有被防火牆阻擋
2.微軟的防毒有這樣的設定嗎,我再確認看看
3.GW應該是沒有問題,因為一切網路連線都正常,只有VPN是無法連線
4.policy是以一個class C去做設定,設定錯誤的話應該會連GW都連不到
5.網路卡應該是正常的因為除了VPN的連線之外都正常
6.同4,路由也是以一個class C去做設定
7.所以上來求各位大大解惑

非常感謝提點

4.不見得,VPN 已經通了,本機回應ping應該是合理的

6.不是設定就好了,你確定生效了嗎 兩端的 route print 丟出來看看

0
aaronlin
iT邦新手 3 級 ‧ 2018-03-31 13:48:40

能否詳細一點呢?
1.兩端的VPN連線的路由你怎麼設定?
2.兩端的防火牆規則你怎麼設定?

因為看你的敘述
個人偏向你VPN建立好了
但是路由沒寫好
所以tracert到了另一端的防火牆之後~~就不知道怎麼送了
網路是一來一回的~所以兩端的路由都要寫好~
192.168.1.X要往左邊Fortinet送
192.168.2.X要往右邊Fortinet送

driversky iT邦新手 5 級 ‧ 2018-03-31 18:23:38 檢舉

非常謝謝你的提醒
兩段的路由我有設定
路由跟policy的設定範圍都是一個class C去設定的
所以才會覺得可以連到GW應該可以連到後端才是
所以還在確認有甚麼地方會影響到而我沒有注意到的

aaronlin iT邦新手 3 級 ‧ 2018-04-11 20:00:56 檢舉

可以的話建議把tracert貼出來看一下吧~這樣大家比較好幫你查問題

0
bluegrass
iT邦研究生 1 級 ‧ 2018-04-03 11:34:11

直覺你現在PACKET由 192.168.1.2 去 192.168.2.2 的時侯是跑了 WAN INTERFACE 而不是 VPN TUNNEL INTERFACE

你 STATIC ROUTE 和 POLICY BASED ROUTE 資料放上來看看

我要發表回答

立即登入回答