Fortigate 政策路由相關設定

fortigate

zxc170170 2020-01-17 14:50:43 ‧ 2852 瀏覽

分享至

Hi 各位大神們,
小弟碰到一個問題,
我台灣Fortigate 60E(192.168.1.0)跟深圳(192.168.3.0)設定了Site to Site,已經可以內部互相連線.

我想要某電腦(192.168.3.10)在深圳的時候,他如果要連網路第一優先走Site to Site,使用台灣的網路,請問是不是只要設定[政策路由]
我設定

協定 ANY
進入介面 Lan

來源
IP /遮罩 192.168.3.0/24
位置物件 192.168.3.10

目的
IP /遮罩 0.0.0.0/24
位置物件 (空)

進行塑形條件:
離開介面 Link to Taiwan(Site to Site)
閘道器位址 0.0.0.0

請問我有哪邊缺少或需要檢查的嗎?
因為我嘗試用tracert 192.168.1.10是正確的
但tracert 8.8.8.8 就沒經過IPsec

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

wlhfor1974

iT邦新手 3 級 ‧ 2020-01-17 16:09:15

我想要某電腦(192.168.3.10)在深圳的時候,他如果要連網路第一優先走Site to Site,使用台灣的網路,請問是不是只要設定[政策路由]-->是

-->只有這台電腦第一優先走site to site vpn回台灣上網??
如果是的話路由應該要這樣設
source
192.168.3.10/32
destination
0.0.0.0/0.0.0.0
gw
site to site vpn的INTERFACE

如果是192.168.3.0/24整段,只要改source部份即可

回應 2
分享
檢舉

zxc170170 iT邦新手 5 級 ‧ 2020-01-17 17:44:23 檢舉

嘗試過後沒辦法~呵呵

wlhfor1974 iT邦新手 3 級 ‧ 2020-01-20 10:53:55 檢舉

所以你只要設.3.10這台??那建議mask要改成32
因為路由有個特性,越精準的優先權會越高
ex:.3.10/32優先權會優於.3.0/24

另外你用的韌體版本??也許可以考慮用下面大大說的SD-WAN

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2020-01-17 23:22:15

樓主只關注到深圳的FG-60E怎麼設
那麼，台灣的Fortigate呢?
當8.8.8.8回應到台灣的Fortigate時
要怎麼知道192.168.3的網段是要往深圳去
有給相關的路由設定嗎?

話說，如果韌體在6.0以上版本
建議可以用SD-WAN
通常會避免掉很多政策路由的困擾
只是，路由觀念還是要正確
設靜態路由就好了

回應
分享
檢舉

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2020-01-18 00:42:32

政你妹, 給老子用SDWAN.

買飛塔不跑SDWAN是要干麻, 就喜歡綠色嗎?

回應 1
分享
檢舉

hsiang11 iT邦好手 1 級 ‧ 2020-01-18 00:59:18 檢舉

XDD

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22195 篇

完賽人數

600 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙