先進好
我們公司在台北內湖
工廠在同奈 (只有一家ISP)
我們主要需求是讓分機SIP註冊台北總機,做內線通話使用。
使用Fortigate to Draytek 建立ipsec LAN TO LAN,這樣做,其實很久沒什麼問題,通話也沒什麼延遲。
但因為這家ISP之前對台灣亞洲這邊海纜斷掉,導致直連線路封包掉的很嚴重,即便ipsec連的上,但根本沒辦法用。
後來徵詢意見,我自己(就公司想省錢),在digitalocean上建立VPS,並安裝Opnsense作為中繼,設置了分別對Fortigate(台北)與Draytek(同奈)
目前Lan To Lan To Lan是可以通的
工廠 192.168.1.0
台北 192.168.8.0
Opnsense 192.168.50.0
工廠ping 兩者都很穩 沒有任何掉包
反之台北ping 也是
我的理解是VPN應該是順利建起,路由也沒問題
(工廠台北互ping 約90ms 穩定)
但奇怪的是 Sip可以過
但http/FTP/遠端桌面等等都很難建立起連線,甚至根本連不上
通話也完全沒問題
有人也遇過這種狀況嗎?
我是有覺得哪邊一定有檔或異常,但彼此解析port都是通的...
Opnsense我也確定防火牆已經設定 * * * * 全開的狀態
另外一個問題是
Opnsense對Fortigate或Draytek,只要任意點有三個通道以上就會一直斷線@@
(台北有四個網段,本來想全開讓他去直通)
已邀請的邦友 {{ invite_list.length }}/5
應該是不對稱路由問題
目前你是三邊都能互通
我假設:
工廠 192.168.1.0 是 Draytek
台北 192.168.8.0 是 Fortigate
Opnsense 192.168.50.0
現在你是
Fortigate跟OPENSENSE有VPN
Draytek跟OPENSENSE有VPN
Fortigate跟Draytek有VPN
先把Fortigate跟Draytek之間VPN斬掉, 都交到上OPENSENSE去
類似您的情況我試過,我覺得是OPNsense先天的Bug
試一試改OPNsense 的 firewall 設定:
Firewall > Settings > Advanced > Miscellaneous > Firewall Optimization > 由 Normal 改為 conservative
iThome鐵人賽
看影片追技術