iT邦幫忙

0

FortiGate site to site VPN

環境
A辦公室 FortiGate 92D 內部IP 192.168.10.0/24
B辦公室 FortiGate 92D 內部IP 192.168.20.0/24
兩方設定site to site VPN 兩邊ping都正常
但我想要設定讓B辦公室網路Internet是透過A辦公室FortiGate 92D出去?

2 個回答

1
mytiny
iT邦大師 1 級 ‧ 2021-07-21 22:35:01

首先,建議改成用SD-WAN
在有分公司的模式下做成SD-Branch
這時,在SD-WAN的模式下,想要流量往哪走就往哪裡走

樓主的情況其實有竅門
事實上,要連通VPN只要一個對方IP就夠了
建成以後再把0.0.0.0指給VPN interface

如果想不明白
這時SD-WAN的直覺式設定就很容易解決
把WAN跟VPN綁成SD-WAN後
在SD-WAN rule裡,把上網丟給VPN介面就好
是不是會容易許多呢?

0
bluegrass
iT邦高手 1 級 ‧ 2021-07-22 11:28:41

補充一下.

以下面為例

A辦公室 FortiGate 92D 內部IP 192.168.10.0/24
A辦公室 WAN 是 1.1.1.1, GATEWAY 是1.1.1.254

B辦公室 FortiGate 92D 內部IP 192.168.20.0/24
B辦公室 WAN 是 2.2.2.1, GATEWAY 是2.2.2.254

設定讓B辦公室網路Internet是透過A辦公室FortiGate 92D出去

假設你沒有在用SDWAN:

B辦公室網路FortiGate要有至少以下兩ROUTE:
0.0.0.0/0 GW: VPN To A
1.1.1.1/32 GW: 2.2.2.254 <- 如果沒有此ROUTE, 你的VPN永遠會UP不了, 因為會LOOP
B辦公室FortiGate 的 FIREWALL POLICY
LAN to "VPN To A" , ANY ANY ALLOW

A辦公室FortiGate 的 FIREWALL POLICY
"VPN FROM B" to WAN/SDWAN , ANY ANY ALLOW
而該POLICY要把 TCP MSS RECEVIE 和 SEND 改成1240 (要用CLI去改)

如果有在用SDWAN:

用你的智慧在SDWAN RULE上達到上述效果, X的太煩了, 不說了
只能提示你: 1.1.1.1/32 GW: 2.2.2.254 也是要保留的

我要發表回答

立即登入回答