iT邦幫忙

1

Fortigate IPsec 特定IP位置導向上網問題

fotigate ipsec
Ryan 2024-07-21 08:52:05387 瀏覽

  • 分享至 

  • xImage

各位好
我目前已經有一個A、B兩地的IPsec,目前是互通的狀態,我目前有個特殊需求,有個網址,在B點需要導向到A,走A的WAN IP出去。

1.我在B點下了Policy route,特定IP的Outgoing到VPN的interface。
2.B點有下Policy。
3.A點有下Policy route,和B連線的VPN介面來源,到特定的位置走wan出去。
4.A點有下Policy。

但似乎都不成功,不知到有哪邊遺漏或錯誤。

playerk iT邦新手 3 級 ‧ 2024-07-22 11:18:47 檢舉
簡單的traceroute看一下路徑對不對,如果卡在某段,就看防火牆的log。
God Damn iT邦新手 5 級 ‧ 2024-07-22 12:03:43 檢舉
1. B點出去VPN Interface Policy不要NAT
3. A點應該不需要 Policy Route,因為A的路由應該是 0.0.0.0/0走 GW,如果有多條WAN建議用SD-WAN來設定,不然用Policy Route會很麻煩
4. A點的VPN Interface應該要有 VPN Interface => WAN的 Policy,要做NAT


最後,如1F說的,Traceroute 測試一下看看節點對不對
也可以在A、B的Fortigate去做 diagnostic packet sniffer,確認一下封包是否和規劃一樣跑
Ryan iT邦新手 2 級 ‧ 2024-07-22 13:49:26 檢舉
感謝,確認B點到VPN Tunnel沒開NAT,Trace出去,只到本地Gateway,但實際上我到A已經有看到Traffic紀錄了。
但B到A,看TrafficLog感覺有去無回,回應為0。
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

2 個回答

0
mytiny
iT邦超人 1 級 ‧ 2024-07-21 09:43:26

首先會建議採用SD-WAN來處理
特別對路由不清楚的用戶在架構設計上會簡單很多
且Fortigate的SD-WAN功能問世已經很多年

另外,沒有架構圖及網段說明
相關OS版本沒有告知,也沒截圖表示設定了哪些內容
這情況只能初步猜測是路由問題
如果找賣Fortigate的SI來解決
也會需要知道相關訊息以便debug
猜想付費處理是理所當然的

如果急著處理
等上班時段付費找SI來處理最快
在這邊可能來來回回要問好一段時間

登入發表回應
0
bluegrass
iT邦高手 1 級 ‧ 2024-07-22 12:25:12

"1.我在B點下了Policy route,特定IP的Outgoing到VPN的interface。"

只有INTERFGACE不會生效, Policy route要同時輸入GATEWAY IP才生效

兩邊VPN INTERFACE輸入一個/30 PTP SUBNET去解決問題

登入發表回應

我要發表回答

立即登入回答
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css react 程式設計 vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙