兩端的防火牆static route問題 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

1

兩端的防火牆static route問題

#fortinet ipsec vpn #static route ping l3 switch

john2699nj 2024-12-05 13:19:59 ‧ 2336 瀏覽

分享至

大家好，我是剛進網路領域的菜鳥，主管丟了幾台網路設備讓我摸索，希望可以做ipsec tunnel，讓不同點的兩台Fortinet經過L3 switch可以互相ping通，也可以ping通Fortinet底下的PC，目前是Fortinet的wan port可以互相ping通，但是到PC對PC卻ping不通,學長說是我static route的問題，再請各位前輩指點了，謝謝。

這是fortigate40f的圖片資料interfaces、static route 以及ping

這是fortigate80cm的圖片資料interfaces、static route 以及ping

再請各位前輩指點迷津了，謝謝。

看更多先前的討論...收起先前的討論...

望空 iT邦新手 1 級 ‧ 2024-12-05 13:22:08 檢舉

路由有方向性<--提示

mathewkl iT邦高手 1 級 ‧ 2024-12-05 13:26:48 檢舉

Static route：要去的目的會經過哪個Gateway

john2699nj iT邦新手 5 級 ‧ 2024-12-05 14:01:49 檢舉

@望空我上面補充的圖片可以看到我在80cm和40f已經設了兩個路由到彼次的防火牆wan port，請問還有什麼是可以再增設的嗎

john2699nj iT邦新手 5 級 ‧ 2024-12-05 14:02:53 檢舉

@mathewkl 感謝回答，我上面補充的圖片可以看到我在80cm和40f已經設了兩個路由到彼次的防火牆wan port，但是PC端彼次還是無法PING通

窮嘶發發發 iT邦高手 1 級 ‧ 2024-12-05 15:21:16 檢舉

在 1.X 用 TRACERT 指令去看到 5.99 的封包跑到哪就斷了
就去哪設定靜態路由

john2699nj iT邦新手 5 級 ‧ 2024-12-06 09:00:06 檢舉

@窮嘶發發發好的，我嘗試看看。

ks1217 iT邦研究生 1 級 ‧ 2024-12-06 09:53:36 檢舉

PC1能Ping到 1.200 是因為您有新增一個專用路由往 2.254丟, 這樣80C WAN可以收到(那也剛好PC1近端沒有1.200),
但PC2 (192.168.5.x)如果要能Ping 到40F(192.168.1.99)有困難, 因為80C WAN端是用1.254 , 他會認為 PC2往PC1的封包是在WAN(近)端而不會往2.254丟,
一般建議不要有相同網段較不會有路由問題,供您參考.
簡單做就是把VLAN 2網段改掉就可以解決.

dboracle iT邦新手 5 級 ‧ 2024-12-06 11:58:48 檢舉

我也不是很熟Forti，但您這邊已經打通了192.168.2.X 與 192.168.1.X的網路連線
你另一端的PC的IP是192.168.5.X，這個可能要設定Vlan打通
是不是用fortigate 80cm這台的CLI試著PING看看192.168.5.100看能不能通
可以的話，也用192.168.5.100這台PC反PING一下fortigate 80cm，每個PORT點的IP也試著PING看看有沒有打通

john2699nj iT邦新手 5 級 ‧ 2024-12-06 15:38:07 檢舉

謝謝@ks1217大大，將pc的網段1.x更改成3.x網段後已成功ping通。

john2699nj iT邦新手 5 級 ‧ 2024-12-06 15:40:07 檢舉

@dboracle 已找到問題的答案是內網與外網的ip不能重疊，謝謝回答。

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

3 個回答

1

mytiny

iT邦超人 1 級 ‧ 2024-12-06 09:33:08

最佳解答

如果是為了瞭解IPsecVPN的設定
可以請樓主建議學長是否將FG40F下的LAN改個網段
因為一般情況
不會有外網IP重疊到某個內網的網段
這樣會比較容易釐清路由觀念

bluegrass大大說的意思是
在Fortigate的路由規則中
直接連接的存取會大於靜態路由的權限
所以FG40F的LAN
理論上會沒法到外部的.1網段

樓主再參考看看嘍

回應 1
分享
檢舉

john2699nj iT邦新手 5 級 ‧ 2024-12-06 15:34:37 檢舉

謝謝mytiny大大的答案，我將PC1的網段從1.X改成3.X後就成功PING通另一端PC到5.X的網段。

登入發表回應

0

charles2011223

iT邦新手 5 級 ‧ 2024-12-05 15:06:05

Hi~
兩台fortigate的wan接至L3 SW，想請問

fortigate 40F是接→L3 SW 的 VLAN 3 PORT 46
fortigate 80cm是接→L3 SW 的 VLAN 2 PORT 45

這樣理解是對的嗎?

回應 1
分享
檢舉

john2699nj iT邦新手 5 級 ‧ 2024-12-06 08:45:47 檢舉

是的，你的理解沒有錯

登入發表回應

1

bluegrass

iT邦高手 1 級 ‧ 2024-12-05 16:39:07

你那學長也不懂NETWORK吧?

你40F的LAN本來就是192.168.1.99/24, 包括了 192.168.1.1 - 254

在有DIRECT CONNECTED ROUTE情況下
你那可愛的192.168.1.200/32 STATIC ROUTE又怎會生效呢?

回應 6
分享
檢舉

看更多先前的回應...收起先前的回應...

jenjupin iT邦新手 5 級 ‧ 2024-12-06 07:08:51 檢舉

會不會，只是單純的pc防火牆沒設定允許？
Windows防火牆預設都會允許同網段的ping

但是跨網段的ping，通常都是會被丟棄的
或許可以檢查下

john2699nj iT邦新手 5 級 ‧ 2024-12-06 08:54:41 檢舉

@Bluegrass 但是不設定1.200沒有辦法跟80cm的防火牆ping通，我也已經嘗試過設定/24的網段也沒辦法ping通，不過還是謝謝您的回答。

john2699nj iT邦新手 5 級 ‧ 2024-12-06 08:59:34 檢舉

@jenjupin 了解，我檢查Windows防火牆的設定，謝謝回答~

john2699nj iT邦新手 5 級 ‧ 2024-12-06 15:36:50 檢舉

謝謝@Bluegrass答案，將1.x網段更改成3.x網段後已成功ping通。

bluegrass iT邦高手 1 級 ‧ 2024-12-09 14:17:57 檢舉

那你不選我最佳喔?

john2699nj iT邦新手 5 級 ‧ 2024-12-10 16:40:34 檢舉

@bluegrass 抱歉，只能選擇一個，如果可以兩個第二個就是你。

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22209 篇

完賽人數

600 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙