兩端防火牆使用IPSEC互PING之問題 - iT 邦幫忙::一起幫忙解決難題，拯救 IT 人的一天

4

兩端防火牆使用IPSEC互PING之問題

fortigate ipsec vpn firewall 不同網段互通防火牆

john2699nj 2024-12-16 14:34:37 ‧ 2088 瀏覽

分享至

大家好，公司再出外勤前希望我熟悉客戶端的網路架構，所以讓我做在公司內做LAB，他要我做的是FW1當成中心端，其他三台防火牆可以PING通FW1 1.99的網段，但是FW2、FW3、FW4彼此無法PING通，他有提示說要做IPSEC TUNNEL。
以下是大概學長給我的網路架構圖，目前我已設定好各個防火牆的網段，IPSEC也已設定完成，進入FW2、FW3、FW4的介面可以PING通分別FW1 2.98、3.98、4.98的網段，但是不同網段的1.99還是無法PING通，再請各位指點了，謝謝。

看更多先前的討論...收起先前的討論...

尼克 iT邦大師 1 級 ‧ 2024-12-16 14:54:09 檢舉

不同網段，請看有無設定靜態陸由

allen1975 iT邦新手 1 級 ‧ 2024-12-16 15:31:55 檢舉

看起來還是路由問題, IPSEC 在設立時,可能需要增加入其他網段
有問題請高手再指證

bluegrass iT邦高手 1 級 ‧ 2024-12-16 15:46:11 檢舉

又是那個學長, 又是IPSEC, 到此一遊

rb1102 iT邦研究生 2 級 ‧ 2024-12-18 18:45:23 檢舉

其實如果是我，會跟你說網路架構是大概是怎麼設計的
只丟給你一張圖然後跟你講ping這ping那我覺得到最後還是會一知半解

登入發表討論

直播研討會

{{ item.subject }}

{{ item.channelVendor }} {{ item.webinarstarted }} |

{{ formatDate(item.duration) }}

直播中

1 個回答

0

mytiny

iT邦超人 1 級 ‧ 2024-12-16 21:28:03

最佳解答

按照網路架構圖顯示
既不用建IPsec Tunnel
也不用設什麼路由

只需要在FW1設以下policy(示意)
Port2 to Port1 ICMP allow
Port3 to Port1 ICMP allow
Port4 to Port1 ICMP allow
以上三條政策設好就行

至於為什麼?可以跟學長討論
或是一起去上一下代理商的免費課程
據說2025各家代理商都有開辦課程
(或許在下2025也會辦免費實機操作課程
在桃園地區，等有確定再來通知)

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

bluegrass iT邦高手 1 級 ‧ 2024-12-17 09:56:53 檢舉

如果學長真有心訓練他
應該中間加一只ROUTER再配ACL只給WAN的點對點通過
迫得他不搞VPN就接不通就是了

john2699nj iT邦新手 5 級 ‧ 2024-12-17 10:57:16 檢舉

@mytiny大大，感謝您得解答我已成功ping通，最後我也聽取你的建議跟學長討論ipsec的問題，原來中間還要再加L3設備做ROUTING。

尼克 iT邦大師 1 級 ‧ 2024-12-17 16:22:02 檢舉

第二章、基礎網路概念
求人不如求己，自己要看一下一些基礎知識。

john2699nj iT邦新手 5 級 ‧ 2024-12-18 11:02:29 檢舉

@尼克感謝資源分享

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22210 篇

完賽人數

600 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙