iT邦幫忙

0

Fortigate site to site VPN 連線多個 vlan問題

fortigate site to site vpn vlan
Levi 2020-12-17 12:15:284117 瀏覽

  • 分享至 

  • xImage

各位先進好,

小弟我用Fortigate 92D 和 80E 架site to site VPN,
在92D上沒有設定vlan,
在80E上有設定vlan,如下圖,
https://ithelp.ithome.com.tw/upload/images/20201217/20033591YSE3KMPGDy.png

在設定完VPN後,92D上的lan和80E的lan可互通了,
但92D無法連上80E的s vlan,
不知道哪裡設定有問題,

目前80E上各vlan是透過政策互通,
site to site VPN是用內建精靈設定的,

如需要其它資訊,
再請告知小弟,
敬請各位先進協助,
非常感謝。

登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

0
tingpi
iT邦新手 5 級 ‧ 2020-12-17 12:26:31

有在IPsec隧道中設定對方全部的VlanIP嗎!?
https://ithelp.ithome.com.tw/upload/images/20201217/20114295czG7LlKXnf.png
92D要在遠端設定所有80E的Vlan IP
80E要在遠端設定所有92D的Vlan IP

Levi iT邦新手 4 級 ‧ 2020-12-17 13:37:00 檢舉

非常感謝您的回覆,
92D的remote中有設定80E的lan和s vlan兩段IP,
80E的local中也有設定80E的lan和s vlan兩段IP,
92D只有一個lan而已。

登入發表回應
0
bluegrass
iT邦高手 1 級 ‧ 2020-12-17 14:25:40

內建精靈就別用了啦=.= 那個比CUSTOM的還麻煩好沒

我假設你兩邊用的是STATIC IP, 如果是DIAL UP就別跟著做, 之後再說

https://ithelp.ithome.com.tw/upload/images/20201217/201020319XISRZmTdY.jpg

把兩邊的PHASE 2 的local remote都改成 SUBNET 的 0.0.0.0/0.0.0.0

https://ithelp.ithome.com.tw/upload/images/20201217/201020313UtACivzPV.jpg

再到92D 的 STATIC ROUTE, 加上80E的s vlan, INTERFACE是你那條已經搞好的VPN

https://ithelp.ithome.com.tw/upload/images/20201217/20102031CdhIEi0ECN.jpg

最後兩邊FIREWALL POLICY 修正一下, 應該是

92D:

LAN -> VPN, ANY ALLOW
VPN -> LAN, ANY ALLOW

80E:

LAN, s vlan -> VPN , ANY ALLOW
VPN -> LANs, vlan , ANY ALLOW

Levi iT邦新手 4 級 ‧ 2020-12-17 16:23:31 檢舉

非常感謝您的回覆,

我一開始用精靈去設定,
幫我建立好object之後,
我就去改成custom了。

我兩邊都是static ip,
PHASE 2 的local及remote,

80E的部份可以用選object的方式,
local的部份有包含lan和s vlan兩段ip,
https://ithelp.ithome.com.tw/upload/images/20201217/20033591T6u2UCgpE7.png

92D的部份就只能用key的,
remote的兩段ip我也都有key進去
https://ithelp.ithome.com.tw/upload/images/20201217/20033591gkAdAIalYk.png

92D 的 static route 也有加上80E的s vlan
https://ithelp.ithome.com.tw/upload/images/20201217/20033591vASlt0womS.png

以下設定和您說的一樣,
92D:
LAN -> VPN, ANY ALLOW
VPN -> LAN, ANY ALLOW

80E:
LAN, s vlan -> VPN , ANY ALLOW
VPN -> LAN , s vlan , ANY ALLOW

我會嘗試修改成您的作法,
修改『兩邊的PHASE 2 的local remote都改成 SUBNET 的 0.0.0.0/0.0.0.0』

感謝您的回覆。

登入發表回應
0
mytiny
iT邦超人 1 級 ‧ 2020-12-17 18:55:11

樓主兩邊Fortigate的OS版本是否相同
通常在兩邊OS版本有階段不同的時候
(如6.0.x對6.2.x)
就不推薦使用精靈Wizard
除非很孰悉CLI指令做Debug
不然最好使用自訂義

兩邊下同樣指令比對一下,看兩邊設定是否一致
config vpn ipsec phase1-interface
show

另外就是路由了
如果正常沒有使用到政策路由
在OS 6.0以後,各介面都可以直通無需設路由
要查驗看看雙方的FG,是否有對方網段回指的路由
有時候也是路由的緣故造成的

Levi iT邦新手 4 級 ‧ 2020-12-17 19:23:15 檢舉

感謝您的回覆,
我兩邊的OS版本是不同的,
而且還差很多?

80E是6.0.11
92D是5.2.11

政策路由兩邊都沒有使用,
80E只有一個由VPN精靈產生的路由,
92D則有另加上s vlan的路由,

指令部份我不熟,
我會用您提供的指令來比對一下,
非常感謝您的指教。

mytiny iT邦超人 1 級 ‧ 2020-12-19 14:06:29 檢舉

建議樓主刪掉由精靈做的VPN
重新用自定義來建VPN
特別是這種兩邊版本差異大的情況
刪掉重建一次,最多一、二小時搞定
去查錯誤在哪裡卻遠遠不止這些時間
Wizard的路由及phase2不太好查問題

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22199
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙