想請問,
兩端已經用 forti 建好一個 siteA <-> siteB 的通道,兩端 lan 可通沒有問題
但 fgA 有 l2tp(/ipsec) client 需要經通道進到 fgB 的 lan.
已經設定了
fgA fw rule 允許 l2tp/ipsec 介面(來源)經 sitevpn 介面出去(目的),
fgB fw rule 允許 fgA 的 VPN client 網段經過 sitevpn 介面進到指定 lan 網段
不知還需要設定哪些其它地方?
作者: sssxyz (只出沒大佳基隆河左岸) 2021-08-04 23:51:00
split tunnel? maybe 放路由給 client
先確定client的路由正確,往你要的地方去再來談規則是否有放行
建 site to site 的時候,靜態路由就已經指好了啊..
作者:
lovespre (Sprewell)
2021-08-05 01:58:00IPsec tunnle 都是用精靈建立的,建完只要能起來就通了像4樓說的 static route不用特別去設定你再去policy去新增規則就好
作者:
lovespre (Sprewell)
2021-08-05 03:02:00預設就是all to all 阿,要限制service 還是IP看你環境要怎麼規範forti UI已經很直覺採用port/zone to port/zone 的觀念如果連IP要怎麼加到規則中都不是很清楚的話建議找廠商
作者: fonzae (fonzae) 2021-08-05 06:15:00
路由要設,如果另一端有多個網段,你還是得自行加然後IP請用物件先建好在指定
作者: sssxyz (只出沒大佳基隆河左岸) 2021-08-05 08:18:00
split tunnel下client的路由是需要額外設定的可以先packet filter看看client的包有沒有上來
我是用 l2tp,沒有開啟 split tunnel...
就路由問題.. fonzae 正姐這種方式我弄過很多次都嘛沒問題而且我還是連地端上雲端
不會設定route請重修網路學分小台fg只有static route可以設,大台才有RIP OSPF 可以設這是超基礎的Layer3設定啊
正常情況 路由 跟 政策 都要設定,路由 管 封包路線政策 管 封包能不能通過.Routing Policy就是更精準的static route樓上J大已經講得很清楚了,請多複習網路基礎順便講一下,中文看不懂,可以看英文,fg的文件寫得很好要不然為什麼 policy route 是放在 network 設定,不是放在 Policy & Objects?
作者:
lovespre (Sprewell)
2021-08-09 22:25:00你想省錢可以直接找原廠support 只要你的license有效但都是英文support
小台的是多小台@@?60系列有吧,Advanced Routing沒有開而已吧我指動態路由另外建議原PO,可以的話,架構圖大概畫一下XD,有時候文字敘述配上圖比較好找問題
到 ip pool 設個 ol 到 siteA 的 gw ip 當成外部 if再到 fw rule 把對應的規則改用那個 gw nat mode 出去跟上面講的設什麼路由都沒關係...
作者:
lovespre (Sprewell)
2021-08-10 04:26:00把架構圖大概畫一下不然用說的有時很難理解題需求的不然就是直接打原廠找tech support
用nat來逃避路由設定也可以,但是就只能單向通訊了雙向通訊還是得乖乖的設定路由
作者:
a12321a (鳥夢)
2021-08-13 12:55:00你的比較像l2tp over IPSec 架構 你如果site to site做好了client配置就參考
https://reurl.cc/MAE2r4 從CLI配置第三步驟開始看 不用看路由噢對了 做完就diagnose看看現象有沒有出來
對啊,我文裡就已經寫我是 client 要透過 s2s 跨防火牆我就不知道一堆人看都不仔細看就一直在講些啥...上面那篇文我找時間看一下,謝謝..
作者:
a12321a (鳥夢)
2021-08-13 13:03:00沒事啦 大家比較熱心 有人回應是好事
那個 l2tp 我也已經設好了,之前的問題其實是,client 進 a 後,沒辦法直接穿過 ab 間的 tunnel 到 b後來只好從 ip pool 搞個 ext if gw 當 client 的 nat不過除了 l2tp 需要到 cli 設定 ip 段以外,其他的其實都可以在 gui 設定,為什麼看大家還是喜歡 po cli的設定方式?
作者:
a12321a (鳥夢)
2021-08-13 15:07:00我貼給你那篇單純就是像你說的設定ip pool要用cli 另外使用cli跟gui 取決習慣 剛入行SI練習lab也都是cli為主 如果入行甲方可能會比較喜歡GUI畢竟操作方便為主
作者:
cjoe (TeA)
2021-08-13 20:49:00笑死,我懂這個感覺。我在別的地方發問也是會遇到尬聊的不是PTT
forti舊版本vpn有些設定gui我印象中看不到...
作者: sssxyz (只出沒大佳基隆河左岸) 2021-08-14 13:39:00
設定nat解決是另一種路由問題 表示lan中尚有路由不可達…
照你那種說法,你乾脆說 還有其他要設定 不是更厲害?如果你自己沒用過,哪來自信丟一句 XX 問題,你概念不足我討厭的這種趨近於講幹話的回應,你有沒有理解?我上面是不是有問: 你說路由,那是要設哪個路由?你倒是吱個聲啊?後面來句 NAT 也是路由,這不是馬後炮?
作者: sssxyz (只出沒大佳基隆河左岸) 2021-08-14 14:32:00
你是發問者 其他人提供意見給你 有沒有幫助到你自己決定但跟你對話我也自認並未失禮 其他人我不知道但若是因為其他人然後轉嫁你的情緒 那其實真的大可不必自己的狀況自己最清楚 對其他人都是黑箱 只能用猜的要手把手協助你處理到好 這不盡現實 其他人也沒有絕對義務如果和其他人的這樣一個互動 你會覺得是幹話那我不知道往後你的發問 還有誰想要跟你做互動你有沒有理解?
題外話,樓上前面也噓過人,要不要換個立場想想?人家也是來問個問題,推文在討論而已回到問題上,你必須在siteA把l2tp client的IPNAT出去這代表site B不認得l2tp client的IP,因為沒有路由這樣你懂要把路由加在那裡了吧?最好是client vpn就不用做雙向啦,traffic過去不用回來?
作者:
goodga ( )
2021-08-16 11:49:00我看原po蠻常問Forti問題 好奇是沒原廠/廠商可以support嗎?
別的不提,就問,走 nat 去不能雙向,有路由去才能回來.這是什麼意思.我發的問聞如果有解決,答案都有在推文裡,這篇也一樣.你扯那麼多有的沒的還說我"噓過人",噓過人是不行嗎?但這也不重要,仿上你可以截圖/或像我一樣只要文字說明證明你有設過 L2TP/IPSec client 而且有設雙向可回去.看要怎樣我們後面再慢慢來!
別人回你的都可以不信,你來是想解決問題還是想吵架?現在問問題的是你,我建議你先把設定檔跟架構圖附上來不是在這邊要求別人滿足你,還要證明可以滿足要不要寫個POC報告給你?
作者: sssxyz (只出沒大佳基隆河左岸) 2021-08-16 17:49:00
網友=廠商? 先證明會後面再慢慢來...你在面試?
現在你知道為什麼這種可以找廠商的是他要來這邊了(笑
作者: sssxyz (只出沒大佳基隆河左岸) 2021-08-16 17:50:00
看來是沒有理解啊
作者: fonzae (fonzae) 2021-08-16 21:03:00
其實啊! 精靈引導介面幫你省略了很多東西呢!要不,你不靠精靈,一步一步設定,看看會不會碰到路由?
作者:
lovespre (Sprewell)
2021-08-17 02:39:00forti用GUI好像一定要靠精靈才能建IPsec 用指令我沒試過印象用精靈時可以增加多個submask 完成後路由一起建立但圖沒給用文字的看不出你想問的問題到底卡在哪
作者:
lovespre (Sprewell)
2021-08-17 02:52:00兩邊路由通了再從policy限制你要通過的12IP
是啊,自己上來問問題,別人熱心回的點都不相信自己瞎摸摸碰巧解決了,就一副我最屌你們都不懂的樣子既然這麼行,要不要解釋一下為什麼你的方法解掉了?
作者:
bogege (bogege)
2021-08-24 02:17:00甲方的味道
作者: doublehow (DBhow) 2021-09-05 22:22:00
你上來問問題的不用這麼兇啦