[請益] Forti 的 client 跨 site VPN

看板MIS (IT資訊人員)作者 (離自相空她相)時間3年前 (2021/08/04 23:30), 3年前編輯推噓22(22099)
留言121則, 15人參與, 最新討論串1/2 (看更多)
想請問, 兩端已經用 forti 建好一個 siteA <-> siteB 的通道,兩端 lan 可通沒有問題 但 fgA 有 l2tp(/ipsec) client 需要經通道進到 fgB 的 lan. 已經設定了 fgA fw rule 允許 l2tp/ipsec 介面(來源)經 sitevpn 介面出去(目的), fgB fw rule 允許 fgA 的 VPN client 網段經過 sitevpn 介面進到指定 lan 網段 不知還需要設定哪些其它地方? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社,人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救,有錯自己改... -- ※ 編輯: freeunixer (60.250.90.238 臺灣), 08/04/2021 23:35:48

08/04 23:51, 3年前 , 1F
split tunnel? maybe 放路由給 client
08/04 23:51, 1F

08/05 01:33, 3年前 , 2F
先確定client的路由正確,往你要的地方去
08/05 01:33, 2F

08/05 01:33, 3年前 , 3F
再來談規則是否有放行
08/05 01:33, 3F

08/05 01:56, 3年前 , 4F
建 site to site 的時候,靜態路由就已經指好了啊..
08/05 01:56, 4F

08/05 01:58, 3年前 , 5F
IPsec tunnle 都是用精靈建立的,建完只要能起來就通了
08/05 01:58, 5F

08/05 01:58, 3年前 , 6F
像4樓說的 static route不用特別去設定
08/05 01:58, 6F

08/05 01:59, 3年前 , 7F
你再去policy去新增規則就好
08/05 01:59, 7F

08/05 02:29, 3年前 , 8F
我現在就是在問我還需要設什麼規則...
08/05 02:29, 8F

08/05 03:02, 3年前 , 9F
預設就是all to all 阿,要限制service 還是IP看你環境
08/05 03:02, 9F

08/05 03:03, 3年前 , 10F
要怎麼規範
08/05 03:03, 10F

08/05 03:06, 3年前 , 11F
forti UI已經很直覺採用port/zone to port/zone 的觀念
08/05 03:06, 11F

08/05 03:07, 3年前 , 12F
如果連IP要怎麼加到規則中都不是很清楚的話建議找廠商
08/05 03:07, 12F

08/05 06:15, 3年前 , 13F
路由要設,如果另一端有多個網段,你還是得自行加
08/05 06:15, 13F

08/05 06:16, 3年前 , 14F
然後IP請用物件先建好在指定
08/05 06:16, 14F

08/05 08:18, 3年前 , 15F
split tunnel下client的路由是需要額外設定的
08/05 08:18, 15F

08/05 08:20, 3年前 , 16F
可以先packet filter看看client的包有沒有上來
08/05 08:20, 16F

08/05 13:21, 3年前 , 17F
我是用 l2tp,沒有開啟 split tunnel...
08/05 13:21, 17F

08/05 14:54, 3年前 , 18F
就路由問題.. fonzae 正姐
08/05 14:54, 18F

08/05 14:55, 3年前 , 19F
這種方式我弄過很多次都嘛沒問題
08/05 14:55, 19F

08/05 14:55, 3年前 , 20F
而且我還是連地端上雲端
08/05 14:55, 20F

08/05 16:28, 3年前 , 21F
設 policy route ?
08/05 16:28, 21F

08/06 00:58, 3年前 , 22F
不會設定route請重修網路學分
08/06 00:58, 22F

08/06 00:59, 3年前 , 23F
小台fg只有static route可以設,大台才有RIP OSPF 可以設
08/06 00:59, 23F

08/06 01:00, 3年前 , 24F
這是超基礎的Layer3設定啊
08/06 01:00, 24F

08/06 01:18, 3年前 , 25F
唉,真心感到累... https://imgur.com/tsvLTE7
08/06 01:18, 25F

08/06 01:18, 3年前 , 26F
如果你自己沒用過的話,何必硬要來參一腳呢?
08/06 01:18, 26F

08/06 01:19, 3年前 , 27F
有什麼路由模式可以用我會不知道?
08/06 01:19, 27F

08/06 01:22, 3年前 , 28F
我不過就想確定上面只留路由兩個字的,是不是指政策...
08/06 01:22, 28F

08/06 02:56, 3年前 , 29F
正常情況 路由 跟 政策 都要設定,路由 管 封包路線
08/06 02:56, 29F

08/06 02:58, 3年前 , 30F
政策 管 封包能不能通過.
08/06 02:58, 30F

08/06 03:02, 3年前 , 31F
Routing Policy就是更精準的static route
08/06 03:02, 31F

08/06 03:09, 3年前 , 32F
樓上J大已經講得很清楚了,請多複習網路基礎
08/06 03:09, 32F

08/06 03:24, 3年前 , 33F
順便講一下,中文看不懂,可以看英文,fg的文件寫得很好
08/06 03:24, 33F

08/06 03:30, 3年前 , 34F
要不然為什麼 policy route 是放在 network 設定,
08/06 03:30, 34F

08/06 03:31, 3年前 , 35F
不是放在 Policy & Objects?
08/06 03:31, 35F

08/09 22:25, , 36F
你想省錢可以直接找原廠support 只要你的license有效
08/09 22:25, 36F

08/09 22:25, , 37F
但都是英文support
08/09 22:25, 37F

08/09 23:16, , 38F
小台的是多小台@@?60系列有吧,Advanced Routing沒有
08/09 23:16, 38F

08/09 23:16, , 39F
開而已吧
08/09 23:16, 39F
還有 42 則推文
08/14 14:42, , 82F
要手把手協助你處理到好 這不盡現實 其他人也沒有絕對義務
08/14 14:42, 82F

08/14 14:43, , 83F
如果和其他人的這樣一個互動 你會覺得是幹話
08/14 14:43, 83F

08/14 14:44, , 84F
那我不知道往後你的發問 還有誰想要跟你做互動
08/14 14:44, 84F

08/14 14:45, , 85F
你有沒有理解?
08/14 14:45, 85F

08/14 15:15, , 86F
這種的的確是不必.
08/14 15:15, 86F

08/14 15:16, , 87F
可能越回越讓人上火而已.
08/14 15:16, 87F

08/16 10:30, , 88F
題外話,樓上前面也噓過人,要不要換個立場想想?
08/16 10:30, 88F

08/16 10:30, , 89F
人家也是來問個問題,推文在討論而已
08/16 10:30, 89F

08/16 10:52, , 90F
回到問題上,你必須在siteA把l2tp client的IPNAT出去
08/16 10:52, 90F

08/16 10:53, , 91F
這代表site B不認得l2tp client的IP,因為沒有路由
08/16 10:53, 91F

08/16 10:54, , 92F
這樣你懂要把路由加在那裡了吧?
08/16 10:54, 92F

08/16 10:55, , 93F
最好是client vpn就不用做雙向啦,traffic過去不用回來?
08/16 10:55, 93F

08/16 11:49, , 94F
我看原po蠻常問Forti問題 好奇是沒原廠/廠商可以support
08/16 11:49, 94F

08/16 11:49, , 95F
嗎?
08/16 11:49, 95F

08/16 14:52, , 96F
別的不提,就問,走 nat 去不能雙向,有路由去才能回來.
08/16 14:52, 96F

08/16 14:52, , 97F
這是什麼意思.
08/16 14:52, 97F

08/16 15:14, , 98F
我發的問聞如果有解決,答案都有在推文裡,這篇也一樣.
08/16 15:14, 98F

08/16 15:15, , 99F
你扯那麼多有的沒的還說我"噓過人",噓過人是不行嗎?
08/16 15:15, 99F

08/16 15:17, , 100F
但這也不重要,仿上你可以截圖/或像我一樣只要文字說明
08/16 15:17, 100F

08/16 15:17, , 101F
證明你有設過 L2TP/IPSec client 而且有設雙向可回去.
08/16 15:17, 101F

08/16 15:18, , 102F
看要怎樣我們後面再慢慢來!
08/16 15:18, 102F

08/16 15:59, , 103F
別人回你的都可以不信,你來是想解決問題還是想吵架?
08/16 15:59, 103F

08/16 15:59, , 104F
現在問問題的是你,我建議你先把設定檔跟架構圖附上來
08/16 15:59, 104F

08/16 16:00, , 105F
不是在這邊要求別人滿足你,還要證明可以滿足
08/16 16:00, 105F

08/16 16:00, , 106F
要不要寫個POC報告給你?
08/16 16:00, 106F

08/16 17:49, , 107F
網友=廠商? 先證明會後面再慢慢來...你在面試?
08/16 17:49, 107F

08/16 17:50, , 108F
現在你知道為什麼這種可以找廠商的是他要來這邊了(笑
08/16 17:50, 108F

08/16 17:50, , 109F
看來是沒有理解啊
08/16 17:50, 109F

08/16 21:03, , 110F
其實啊! 精靈引導介面幫你省略了很多東西呢!
08/16 21:03, 110F

08/16 21:03, , 111F
要不,你不靠精靈,一步一步設定,看看會不會碰到路由?
08/16 21:03, 111F

08/17 02:39, , 112F
forti用GUI好像一定要靠精靈才能建IPsec 用指令我沒試過
08/17 02:39, 112F

08/17 02:41, , 113F
印象用精靈時可以增加多個submask 完成後路由一起建立
08/17 02:41, 113F

08/17 02:42, , 114F
但圖沒給用文字的看不出你想問的問題到底卡在哪
08/17 02:42, 114F

08/17 02:52, , 115F
我問題解決了啊,只是有人一直在扯個沒完...
08/17 02:52, 115F

08/17 02:52, , 116F
兩邊路由通了再從policy限制你要通過的12IP
08/17 02:52, 116F

08/17 09:20, , 117F
是啊,自己上來問問題,別人熱心回的點都不相信
08/17 09:20, 117F

08/17 09:21, , 118F
自己瞎摸摸碰巧解決了,就一副我最屌你們都不懂的樣子
08/17 09:21, 118F

08/17 09:23, , 119F
既然這麼行,要不要解釋一下為什麼你的方法解掉了?
08/17 09:23, 119F

08/24 02:17, , 120F
甲方的味道
08/24 02:17, 120F

09/05 22:22, , 121F
你上來問問題的不用這麼兇啦
09/05 22:22, 121F
文章代碼(AID): #1X2h9wOu (MIS)
文章代碼(AID): #1X2h9wOu (MIS)