VPN site to site 後 mail server無法連線問題

#vpn

robinsonxd 2023-09-14 13:54:12 ‧ 1332 瀏覽

分享至

請問一下各位大大，公司A跟公司B有用VPN連線讓內網可以互通
然後使用者在A公司內網可以用mail.xxx.com.tw收信
但是帶筆電到B公司後，卻無法用mail.xxx.com.tw收信只能設定192.168.0.100才正常

不曉得要如何設定才可以讓B公司可以正常使用？其他地點也有同樣問題，感謝各位大大

補充：
我在想一個問題，就是A公司IP連B公司的IP 223.223.223.223 湊巧是B公司對外的IP
是否是因為這樣，所以A公司防火牆就排除B公司的IP？
所以當我把VPN disable後，防火牆就認定223.223.223.223這個IP是外部IP?

請問如果顯示這樣我該如何修改呢QQ

看更多先前的討論...收起先前的討論...

PIZZ iT邦新手 2 級 ‧ 2023-09-14 13:58:01 檢舉

DNS設定???

DennisLu iT邦好手 1 級 ‧ 2023-09-14 14:05:19 檢舉

在B 公司的時候的DNS就解不到mail.xxx.com.tw

B公司的DNS設到可以解
或者
去B公司手動設定指向A公司的DNS，反正site to site A公司的DNS應該也能設到可以訪問才對
或者
直接追加
C:\Windows\System32\drivers\etc\hosts
192.168.0.100 mail.xxx.com.tw

robinsonxd iT邦新手 5 級 ‧ 2023-09-14 16:50:49 檢舉

DNS通通設8.8.8.8

robinsonxd iT邦新手 5 級 ‧ 2023-09-14 16:52:01 檢舉

除了改host之外有其他解嗎？因為也有可能將筆電帶去國外或者居家上班使用

Sujira iT邦新手 4 級 ‧ 2023-09-14 17:10:48 檢舉

使用者在A公司的時候DNS也是8.8.8.8嗎?
沒道理DNS都8.8.8.8 然後換個地點就解析不到 mail這筆紀錄

如果要在公司外部也可以收發, 那麼 mail.xxx.com.tw 要設定外部DNS紀錄

robinsonxd iT邦新手 5 級 ‧ 2023-09-14 17:13:56 檢舉

是的我看A公司防火牆有設定NAT 所以用mail.xxx.com.tw 是可以的
可是到外點的時候，DNS設定8.8.8.8 我用tracert 去看他就會卡在外面回不去
但是當我用手機當AP又可以連線

Sujira iT邦新手 4 級 ‧ 2023-09-14 17:29:56 檢舉

簡易測試:
在A公司跟外部分別 nslookup -type=a mail.xxx.com.tw 看結果

DennisLu iT邦好手 1 級 ‧ 2023-09-14 18:03:30 檢舉

A公司內網電腦dns設8.8.8.8 ?
那A公司電腦解析 mail.xxx.com.tw 是 ? 外網IP還是內網IP

aaron3399 iT邦好手 1 級 ‧ 2023-09-14 18:26:59 檢舉

如果外地走mail.xx.com.tw不通，照理說在A公司走mail.xx.com.tw也不會通(因為都會繞外網)，但你的狀況卻是A公司內網可通......

1.會不會是A公司DNS把mail.xx.com.tw設成內網192.168.0.100了?
這樣也會符合在A公司內網可通，其他外地都不通的情況....

2.你的情況應該不是site to site VPN的問題，應該是只要離開A公司的地方，就都無法用mail.xx.com.tw收信，包含家裡也是。(但你又說用手機當AP分享4G會通...!?)

3.可能筆電有設定proxy沒有取消!

4.若dns改其他的如168.95.1.1測試過嗎

robinsonxd iT邦新手 5 級 ‧ 2023-09-14 19:04:09 檢舉

@dennislu 對的，A公司內網電腦DNS設8.8.8.8 解析是外網IP 123.123.123.124

robinsonxd iT邦新手 5 級 ‧ 2023-09-14 19:07:07 檢舉

@aaron3399
1.內網可通我看防火牆是有設NAT 就是123.123.123.124 -> 192.168.0.100 所以我猜因為這樣才通
2.我昨天在車上連手機確實是可以收信的，但我一到B公司後插上網路線就不通，只能把outlook的ip改成192.168.0.100才可以收信
3.proxy沒有設過
4.這個我在家裡用168.95.1.1也沒有問題

aaron3399 iT邦好手 1 級 ‧ 2023-09-15 14:21:26 檢舉

該不會B公司網路是限制連外的吧!?
或者防火牆有鎖MAC上網之類的

robinsonxd iT邦新手 5 級 ‧ 2023-09-15 16:20:24 檢舉

@aaron3399
一切都正常，就只是連著VPN site to site 才不行
如果把VPN關掉後就可以正常連線

aaron3399 iT邦好手 1 級 ‧ 2023-09-18 02:21:44 檢舉

應該只是一個小細節忽略或是設錯了XD

robinsonxd iT邦新手 5 級 ‧ 2023-09-18 22:09:06 檢舉

找到問題了，就是BUG，需要更改內容

aaron3399 iT邦好手 1 級 ‧ 2023-09-19 15:12:24 檢舉

是甚麼bug啊?

robinsonxd iT邦新手 5 級 ‧ 2023-09-19 23:25:21 檢舉

A是CheckPoint的防火牆 B是Fortigate
後來找很久發現是CheckPoint連第三方的VPN 用IPsec連線的問題
https://support.checkpoint.com/results/sk/sk108600#Scenario%203

robinsonxd iT邦新手 5 級 ‧ 2023-09-19 23:26:27 檢舉

Scenario 3 - Implied inclusion of Check Point Security Gateway's / 3rd party VPN Peer's interfaces
Symptoms:
Traffic initiated from external interfaces of the 3rd party VPN Peer to external interface of the Check Point Security Gateway is dropped with "Clear text packet should be encrypted" log.
Traffic to the external IP address of the 3rd party gateway fails.
The 3rd party peer sends INVALID-ID notifications, because the Check Point Security Gateway is proposing a VPN tunnel for the external IP addresses.
Show / Hide solution

Explanation:
3rd party devices may not include their external IP addresses in their VPN domain as opposed to Check Point Security Gateway.
This may cause 3rd party VPN peers to send "delete" for Phase 1 and cause tunnel interruptions.
Solution:
Special macro NON_VPN_TRAFFIC_RULES (configured in the relevant "crypt.def" / "user.def" file on the Security Management Server / Domain Management Server) will prevent traffic entering a VPN tunnel, if the source and destination matches the configured rules. For example, all web traffic to all public IP addresses needs to be sent through a VPN tunnel, but only for a subset of the IP addresses in the encryption domain.

Notes:

For Security Gateways R70 and higher, the macro is configured in the relevant "crypt.def" file.
The location of relevant crypt.def file depends on the version of the Check Point Security Gateway and the version of Management Server. Refer to this solution:
sk98241 - Location of 'crypt.def' files on Security Management Server

登入發表討論