各位好
我目前已經有一個A、B兩地的IPsec,目前是互通的狀態,我目前有個特殊需求,有個網址,在B點需要導向到A,走A的WAN IP出去。
1.我在B點下了Policy route,特定IP的Outgoing到VPN的interface。
2.B點有下Policy。
3.A點有下Policy route,和B連線的VPN介面來源,到特定的位置走wan出去。
4.A點有下Policy。
但似乎都不成功,不知到有哪邊遺漏或錯誤。
已邀請的邦友 {{ invite_list.length }}/5
首先會建議採用SD-WAN來處理
特別對路由不清楚的用戶在架構設計上會簡單很多
且Fortigate的SD-WAN功能問世已經很多年
另外,沒有架構圖及網段說明
相關OS版本沒有告知,也沒截圖表示設定了哪些內容
這情況只能初步猜測是路由問題
如果找賣Fortigate的SI來解決
也會需要知道相關訊息以便debug
猜想付費處理是理所當然的
如果急著處理
等上班時段付費找SI來處理最快
在這邊可能來來回回要問好一段時間
"1.我在B點下了Policy route,特定IP的Outgoing到VPN的interface。"
只有INTERFGACE不會生效, Policy route要同時輸入GATEWAY IP才生效
兩邊VPN INTERFACE輸入一個/30 PTP SUBNET去解決問題
請問是把遠端FQDN或IP,放進去Tunnel嗎?
我剛剛試一下,這樣確實,可以看到B Site到VPN Tunnel的Traffic,但回應是0B。
A Site也有看到Traffic,看起來去和回都有大小,但我Client電腦出現找不到網頁。
B到A 的 VPN INTERFACE , 設成 192.0.0.1/24
A到B 的 VPN INTERFACE , 設成 192.0.0.254/24
B到的那個Policy route, GATEWAY 要設是 192.0.0.254
A點要由路由, 到B的LAN時候交到A到B的VPN上去, GATEWAY 是 192.0.0.1
B的Policy不要啟用NAT
A的Policy要啟用NAT
B site:
我把這個IP塞到Tunnel(Phase 2),去A Site的remote讓他進Tunnel。
A Site:
我把這個IP塞到Tunnel的本地LAN(Phase 2)。
下一條Policy,Tunnel To Wan。
可以用了。
iThome鐵人賽
看影片追技術