iT邦幫忙

2

<已解決> FortiGate IPSec VPN 環境下跨VPN使用Radius Server

  • 分享至 

  • xImage

A、B兩個點使用FortiGate IPSec VPN連接
A點內有Windows Radius Server,A點的FortiGate可以正常使用
B點的FortiGate也想使用A點的Radius Server,但是Test Connectivity時就是不通
有測試使用PING,如果有用ping-options指定interface,是可以Ping的到Radius Server
B點的FortiGate也有使用Local Out Routing去指定連接Radius Server的interface,並且設定相對應的Policy,但就是不通
請問是否還需要甚麼設定

感謝各位的回覆,經過搜尋資料,最終找到一篇文章https://community.fortinet.com/t5/FortiGate/Technical-Tip-Configure-IP-address-on-an-IPSec-tunnel-interface/ta-p/193084
總算是解決了問題,謝謝

看更多先前的討論...收起先前的討論...
burburc iT邦新手 4 級 ‧ 2025-01-07 10:07:50 檢舉
1. 條例服務是開all 還是有限定呢
2.IPSEC 是兩端 都是全為0互打,或是有限定網段
snoopy iT邦新手 4 級 ‧ 2025-01-08 10:11:37 檢舉
你好
1.開all
2.全為0
burburc iT邦新手 4 級 ‧ 2025-01-08 10:28:30 檢舉
全為0的話,打完IPSEC 該外線實體介面會長出IPSEC 網段,有設IP嗎?

或是該條 條例 把NAT打開試試
tjhsu iT邦新手 4 級 ‧ 2025-01-09 13:52:23 檢舉
假設防火牆的policy都已經開放radius protocol通過,建議考慮一下Radius Server的設定:
1.確定遠端Fortigate防火牆的radius認證封包是用那一個source IP
2.確定Radius Server上的Radius Client有設定允許遠端Fortigate的Source IP
3.確定Radius Server Key是一致的
snoopy iT邦新手 4 級 ‧ 2025-01-09 14:38:37 檢舉
你好,
1.Source IP與NPS上的IP是一致的
2.因為是測試,所以是全開放
3.key是一致的,但訊息還停在Can't contact RADIUS server
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
1
rb1102
iT邦研究生 2 級 ‧ 2025-01-07 10:48:57

你要指定Fortigate的Source ip

CLI
config user radius
edit "你的Radius名稱"
set source-ip {string}

snoopy iT邦新手 4 級 ‧ 2025-01-08 10:15:10 檢舉

你好,已經有透過Local Out Routing去指定source-ip了

0
mytiny
iT邦超人 1 級 ‧ 2025-01-08 13:35:19

本機介面ping的通,
不代表穿過FGT的路由有通
這題應該是路由觀念

snoopy iT邦新手 4 級 ‧ 2025-01-09 14:44:19 檢舉

你好,
B點的流量是全部導到A點的,再由A點出去,然後有設一條Policy,允許B點的任何IP連到Radius Server

mytiny iT邦超人 1 級 ‧ 2025-01-11 18:49:04 檢舉

雖然用VIP方式可以解決
但畢竟不是路由通行
以後終究還是會遇到類似狀況

1
bluegrass
iT邦高手 1 級 ‧ 2025-01-08 14:34:27

你重點要設定的是NAS IP, 不是只有SOURCE IP.

NAS IP 對應你 WINDOWS NPS 上設定的IP

WINDOWS NPS上設定的IP是看你請求的源的"NAS IP", 跟源的SOURCE IP沒關係.

https://ithelp.ithome.com.tw/upload/images/20250108/20102031hOUrABTZQL.png

看更多先前的回應...收起先前的回應...
snoopy iT邦新手 4 級 ‧ 2025-01-09 14:36:15 檢舉

你好,NAS IP也有設定成與WINDOWS NPS上的IP一樣,但無作用

bluegrass iT邦高手 1 級 ‧ 2025-01-10 10:04:00 檢舉

有點怪怪,
你加入TUNNEL IP的作法其實等於用TUNNEL IP作為SOURCE去抓NPS

你可以把RADIUS設定CLI看一下?

config user radius
edit "你的Radius名稱"
show
get

snoopy iT邦新手 4 級 ‧ 2025-01-10 10:30:34 檢舉

對的,你真厲害,就是用tunnel IP,雖然不知道還沒有有其他方法,但這樣確實就可以work了,連系統DNS都可以跨VPN指向內部

bluegrass iT邦高手 1 級 ‧ 2025-01-10 10:35:36 檢舉

好吧. 能用就好. /images/emoticon/emoticon10.gif

我要發表回答

立即登入回答