[請益] Forti 的 client 跨 site VPN

看板MIS作者 (離自相空她相)時間2年前 (2021/08/04 23:30), 2年前編輯推噓5(5030)
留言35則, 7人參與, 2年前最新討論串1/2 (看更多)
想請問, 兩端已經用 forti 建好一個 siteA <-> siteB 的通道,兩端 lan 可通沒有問題 但 fgA 有 l2tp(/ipsec) client 需要經通道進到 fgB 的 lan. 已經設定了 fgA fw rule 允許 l2tp/ipsec 介面(來源)經 sitevpn 介面出去(目的), fgB fw rule 允許 fgA 的 VPN client 網段經過 sitevpn 介面進到指定 lan 網段 不知還需要設定哪些其它地方? -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社,人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救,有錯自己改... -- ※ 編輯: freeunixer (60.250.90.238 臺灣), 08/04/2021 23:35:48
08/04 23:51, 2年前 , 1F
split tunnel? maybe 放路由給 client
08/04 23:51, 1F
08/05 01:33, 2年前 , 2F
先確定client的路由正確,往你要的地方去
08/05 01:33, 2F
08/05 01:33, 2年前 , 3F
再來談規則是否有放行
08/05 01:33, 3F
08/05 01:56, 2年前 , 4F
建 site to site 的時候,靜態路由就已經指好了啊..
08/05 01:56, 4F
08/05 01:58, 2年前 , 5F
IPsec tunnle 都是用精靈建立的,建完只要能起來就通了
08/05 01:58, 5F
08/05 01:58, 2年前 , 6F
像4樓說的 static route不用特別去設定
08/05 01:58, 6F
08/05 01:59, 2年前 , 7F
你再去policy去新增規則就好
08/05 01:59, 7F
08/05 02:29, 2年前 , 8F
我現在就是在問我還需要設什麼規則...
08/05 02:29, 8F
08/05 03:02, 2年前 , 9F
預設就是all to all 阿,要限制service 還是IP看你環境
08/05 03:02, 9F
08/05 03:03, 2年前 , 10F
要怎麼規範
08/05 03:03, 10F
08/05 03:06, 2年前 , 11F
forti UI已經很直覺採用port/zone to port/zone 的觀念
08/05 03:06, 11F
08/05 03:07, 2年前 , 12F
如果連IP要怎麼加到規則中都不是很清楚的話建議找廠商
08/05 03:07, 12F
08/05 06:15, 2年前 , 13F
路由要設,如果另一端有多個網段,你還是得自行加
08/05 06:15, 13F
08/05 06:16, 2年前 , 14F
然後IP請用物件先建好在指定
08/05 06:16, 14F
08/05 08:18, 2年前 , 15F
split tunnel下client的路由是需要額外設定的
08/05 08:18, 15F
08/05 08:20, 2年前 , 16F
可以先packet filter看看client的包有沒有上來
08/05 08:20, 16F
08/05 13:21, 2年前 , 17F
我是用 l2tp,沒有開啟 split tunnel...
08/05 13:21, 17F
08/05 14:54, 2年前 , 18F
就路由問題.. fonzae 正姐
08/05 14:54, 18F
08/05 14:55, 2年前 , 19F
這種方式我弄過很多次都嘛沒問題
08/05 14:55, 19F
08/05 14:55, 2年前 , 20F
而且我還是連地端上雲端
08/05 14:55, 20F
08/05 16:28, 2年前 , 21F
設 policy route ?
08/05 16:28, 21F
08/06 00:58, 2年前 , 22F
不會設定route請重修網路學分
08/06 00:58, 22F
08/06 00:59, 2年前 , 23F
小台fg只有static route可以設,大台才有RIP OSPF 可以設
08/06 00:59, 23F
08/06 01:00, 2年前 , 24F
這是超基礎的Layer3設定啊
08/06 01:00, 24F
08/06 01:18, 2年前 , 25F
唉,真心感到累... https://imgur.com/tsvLTE7
08/06 01:18, 25F
08/06 01:18, 2年前 , 26F
如果你自己沒用過的話,何必硬要來參一腳呢?
08/06 01:18, 26F
08/06 01:19, 2年前 , 27F
有什麼路由模式可以用我會不知道?
08/06 01:19, 27F
08/06 01:22, 2年前 , 28F
我不過就想確定上面只留路由兩個字的,是不是指政策...
08/06 01:22, 28F
08/06 02:56, 2年前 , 29F
正常情況 路由 跟 政策 都要設定,路由 管 封包路線
08/06 02:56, 29F
08/06 02:58, 2年前 , 30F
政策 管 封包能不能通過.
08/06 02:58, 30F
08/06 03:02, 2年前 , 31F
Routing Policy就是更精準的static route
08/06 03:02, 31F
08/06 03:09, 2年前 , 32F
樓上J大已經講得很清楚了,請多複習網路基礎
08/06 03:09, 32F
08/06 03:24, 2年前 , 33F
順便講一下,中文看不懂,可以看英文,fg的文件寫得很好
08/06 03:24, 33F
08/06 03:30, 2年前 , 34F
要不然為什麼 policy route 是放在 network 設定,
08/06 03:30, 34F
08/06 03:31, 2年前 , 35F
不是放在 Policy & Objects?
08/06 03:31, 35F
更多 freeunixer 的文章
文章代碼(AID): #1X2h9wOu (MIS)
更多 freeunixer 的文章
文章代碼(AID): #1X2h9wOu (MIS)