iT邦幫忙

0

關於兩台FortiGate 60D設定IPsec的問題

新手上路 fortigate 60d ipsec vpn
deniel 2020-12-18 13:36:032351 瀏覽

  • 分享至 

  • xImage

請問一下前輩,目前手上有兩台同樣韌體的FortiGate 60D的防火牆,韌體版本都是6.0.9,目前想使用IPsec功能將兩台對連起來,使用了IPsec連線設定精靈,設定完之後還是無法正常連線,請問我該注意哪些地方呢,謝謝。
https://ithelp.ithome.com.tw/upload/images/20201218/20126953qbqoxsh4TK.jpghttps://ithelp.ithome.com.tw/upload/images/20201218/20126953eYMPTyICMQ.jpghttps://ithelp.ithome.com.tw/upload/images/20201218/201269538ZJomRt4cr.jpghttps://ithelp.ithome.com.tw/upload/images/20201218/20126953CJcP0IX0K6.jpghttps://ithelp.ithome.com.tw/upload/images/20201218/20126953yiiSK2lC4r.jpghttps://ithelp.ithome.com.tw/upload/images/20201218/20126953psCqLFj3aN.jpg

看更多先前的討論...收起先前的討論...
雷伊 iT邦高手 1 級 ‧ 2020-12-18 16:44:57 檢舉
您是指在A的環境下無法聯繫到B環境下的其他設備嗎?若是如此可以啟用NAT即可。
deniel iT邦新手 5 級 ‧ 2020-12-18 20:46:37 檢舉
是的,在A環境下的電腦無法ping到B環境下的電腦,反過來B也是無法ping到A,謝謝回答。
mytiny iT邦超人 1 級 ‧ 2020-12-19 14:08:48 檢舉
把架構圖放上來看看吧!
下面bluegrass大已看出VPN有通
是不是路由檢查一下
deniel iT邦新手 5 級 ‧ 2020-12-21 09:28:59 檢舉
不好意思,請問架構圖怎麼呈現給你看呢,謝謝
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2020-12-18 20:23:57

你的TUNNEL已經UP了亮綠燈. 什麼不通呢?

看更多先前的回應...收起先前的回應...
deniel iT邦新手 5 級 ‧ 2020-12-18 20:47:52 檢舉

前輩,就是兩個環境的內網互相ping不到

bluegrass iT邦高手 1 級 ‧ 2020-12-18 21:45:35 檢舉

兩邊電腦防火牆停用一下

deniel iT邦新手 5 級 ‧ 2020-12-21 09:28:14 檢舉

目前兩邊的NAT是關閉的狀態之下,剛剛試著打開,也是PING不到

bluegrass iT邦高手 1 級 ‧ 2020-12-21 10:43:21 檢舉

假設你A的地方IP是192.168.1.2 , B的地方IP是192.168.2.2

在A PING 去 B

PING 之前, 先CLI A 跟 B FORTI的

dia sni packet any "host 192.168.1.2 and host 192.168.2.2" 4 0

deniel iT邦新手 5 級 ‧ 2020-12-21 13:33:46 檢舉

剛剛試著將個人電腦的防火牆關閉,發現可以正常PING到對方,但是一直關閉防火牆的話是否有疑慮,如果要開起防火牆的話,請問我該允許哪個程式呢,謝謝
https://ithelp.ithome.com.tw/upload/images/20201221/20126953RffImuNYJP.jpg

deniel iT邦新手 5 級 ‧ 2020-12-21 15:36:32 檢舉

前輩,剛剛將小烏龜的網路線換孔插就可以用了,請問知道這是什麼原因嗎,再次謝謝前輩協助。

bluegrass iT邦高手 1 級 ‧ 2020-12-22 03:26:00 檢舉

我他媽的真聰明, 然後為什麼你要被PING?

關閉防火牆的話有疑慮就別關啦, 你PING來干麻?

登入發表回應
0
mytiny
iT邦超人 1 級 ‧ 2020-12-21 11:11:28

真的覺得搞網路真的要講的清楚問題才行
如果對網路的技術真的很不熟
千萬買產品時不要貪便宜,把技術服務也同時買好

樓主應該都沒看原廠手冊,以下是手冊的VPN圖
https://ithelp.ithome.com.tw/upload/images/20201221/20083857YkirQUUPBX.png

看更多先前的回應...收起先前的回應...
deniel iT邦新手 5 級 ‧ 2020-12-21 13:35:26 檢舉

前輩,廠商來安裝機台的時候,還真的沒有看到說明書,造成前輩的困擾這裡向你說聲不好意思

mytiny iT邦超人 1 級 ‧ 2020-12-21 15:10:19 檢舉

別誤會,在下沒有困擾
手冊都在網上,需要自己去找(G大神可以幫你翻譯)
Site-to-site IPsec VPN with two FortiGate devices

如果廠商未提供,樓主可以跟他要
或是下次換一間有技術服務的廠商

deniel iT邦新手 5 級 ‧ 2020-12-21 15:36:47 檢舉

前輩,剛剛將小烏龜的網路線換孔插就可以用了,請問知道這是什麼原因嗎,再次謝謝前輩協助。

mytiny iT邦超人 1 級 ‧ 2020-12-21 15:57:49 檢舉

換小烏龜插孔表示session會斷
原先的網路流量路徑會斷掉重連
可能之前一直把session咬在中華的路由器上

不過,路由如果沒有通
session斷幾次也沒用哈!

deniel iT邦新手 5 級 ‧ 2020-12-21 18:28:38 檢舉

不好意思,上面是錯誤訊息。
正確的訊息是,我將雙方的電腦防火牆關閉才ping到彼此雙方的,如果我要打開防火牆的話,是不是需要進去防火牆開啟什麼功能嗎,謝謝

mytiny iT邦超人 1 級 ‧ 2020-12-21 19:44:09 檢舉

通常PC都是往Server連,而非被人往PC內連線
因此PC的防火牆不需關閉即能夠完成很多工作
兩邊先前不能通是不是這個原因?

腰果花生糖 iT邦新手 2 級 ‧ 2020-12-22 09:00:51 檢舉

若是純粹要開ping,可以到防火牆的『進階設定』內,找『虛擬機器監視 (回應要求ICMPv4-in)』啟用即可deniel

登入發表回應
0
kevin24680
iT邦新手 5 級 ‧ 2020-12-21 13:51:10

看起來是路由的問題,你可以設定指定網段往指定的tunnel找,別設8個0,例如你的remote網段(192.168.10.0)設定方式如圖,且兩邊需互相對應!https://ithelp.ithome.com.tw/upload/images/20201221/20116294cPgzjJeOzq.jpg

deniel iT邦新手 5 級 ‧ 2020-12-21 14:12:20 檢舉

前輩,那邊無法設定成你所說的數值呀

deniel iT邦新手 5 級 ‧ 2020-12-21 15:36:54 檢舉

前輩,剛剛將小烏龜的網路線換孔插就可以用了,請問知道這是什麼原因嗎,再次謝謝前輩協助。

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙