作者nksp (Tu m'aimes?)
看板MIS
标题[请益] VPN连线问题
时间Sun Jun 28 23:56:46 2015
大家好,继上篇自介後,这篇说明我遇到的问题
目前公司需要建置VPN,使用设备是:Fortigate防火墙*2 HP L3 Switch*2
然後从SW去切VLAN,让各点VLAN能够互通。
(参考图:
http://i.imgur.com/IUDEohm.png)
在向厂商求(挨)救(骂)与自己一知半解的自学之下,目前基本的设定都做好了
只是在实际装机的时候两点之间却还是不能互相Ping通。
看了FW与SW的设定好久都看不出什麽问题,现场接线也都正确。请厂商来看FW设定也都
正确,最後找到可能是下面SW的问题,FW花莲端有监测到从台北丢过来的封包,
可是却无法转送到下面的SW的GW与任一VLAN的GW,想请问板友问题可能出在哪里呢?
现场已查明过接线正常,只是花莲端的现只放一台SW,没有Stack,不知道有无影响?
顺便问下有熟HP L3 Switch的板友吗?谢谢!
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.83.222.49
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1435507008.A.2FB.html
1F:推 gogohc: 检查一下 你花莲端 Client 设备到 花莲 GW 通吗?06/29 00:07
目前花莲端有一台主控电脑透过Console设定FW与SW,然後用远端桌面连入操控…这台主控有两张网卡,一张设定对外的实体IP,一张接HP SW测试是否有取得DHCP IP,但目前处於离线状态…
2F:推 gogohc: 检查一下你的 HP 的四个 GW SVI 在吗06/29 00:11
这是什麽?还请大大说明?
3F:→ anlan: 你的图..真的看不太懂...确认一下routing有没有走对吧06/29 00:54
对不起让大大见笑了~FW的Route都有确认过设定无误,我再想办法贴防火墙route设定的图?
W来。
4F:→ deadwood: 两个网站的防火墙看一下,两站对传的流量NAT要除外06/29 08:25
这是指?我有看过FW的monitor 但看不出个所以然来。
5F:推 lovespre: 防火墙接下去的设备AB是什麽? 主机当router用? 然後再06/29 08:29
6F:→ lovespre: 接swtich?06/29 08:31
7F:→ lovespre: 靠 看懂了....06/29 08:31
设备AB各是两端的主控电脑,可透过远端桌面更改FW OR SW设定,因为现阶段我还不会设定
fw&sw直接从远端连入,只好先采用这样的方式…
A5120
8F:推 asdfghjklasd: 我若是SW厂商我只会测SW以下,若是FW厂商只会测对接06/29 08:35
9F:→ asdfghjklasd: 这是正常的厂商。除非你付给其中一家Config费用了06/29 08:36
10F:→ asdfghjklasd: 以上是指你现在的厂商 06/29 08:36
11F:→ asdfghjklasd: 基本上就是查 FW Routing & SW Routing06/29 08:41
感谢asdf大大的指点,小弟会从这方向去查修
12F:→ asdfghjklasd: 不过就算这次让你解了,之後TS也是有问题06/29 08:42
这工作对小弟来说几乎全部都是从头来过,我很愿意学习解决问题,但很多前期网路规划似
乎一开始就要做好,否则到後面会出现一堆问题,就如大大您所说的那样…
有谈合约内容还要再花时间研究看看…
13F:推 tnshoho: 问一下,中间这段是专线VPN还是Internet做IPSec VPN?06/29 08:59
後者,用Internet做IPSec VPN
※ 编辑: nksp (111.83.210.229), 06/29/2015 09:09:20
14F:→ deadwood: 透过internet做VPN,最容易忽略掉NAT免除这个点 06/29 09:13
15F:→ deadwood: 看你的图应该防火墙是对外GW,所以你的内网一定全部有 06/29 09:14
16F:→ deadwood: NAT(PAT)才能上网,但是site to site vpn要起来 06/29 09:15
17F:→ deadwood: 两site之间的流量就不能NAT 06/29 09:18
18F:→ deadwood: 另外还有其他人提到,防火墙上的rouing也要设定正确 06/29 09:20
19F:→ deadwood: FORTI做S2S VPN个人没做过,你可能要看一下policy是不是 06/29 09:25
20F:→ deadwood: 有把VPN用的policy拿到最上面,因为看起来forti预设有 06/29 09:32
21F:→ deadwood: 把VPN流量不做NAT 06/29 09:32
22F:推 asdfghjklasd: A5120-EI or SI 都是 Lite L3... 06/29 09:38
23F:→ asdfghjklasd: 你的问题应该在整串的Routing 规划 06/29 09:38
24F:推 gogohc: 个人也是觉得L3 routing去查查看 原PO FQ厂商跟他说两端VP 06/29 10:06
25F:→ gogohc: N没问题,从底下到FW怎麽怎的要确认一下通常好一点的FW VP 06/29 10:06
26F:→ gogohc: N建好会自动起一个对应的Policy 06/29 10:06
27F:→ asdfghjklasd: 一般的Site to Site 只会通 LAN IP 06/29 10:27
28F:→ asdfghjklasd: FW LAN IP 06/29 10:27
29F:推 lovespre: 公司都不愿意请一个专业的人来管理当然省钱用IPSEC..... 06/29 11:04
30F:→ lovespre: 台北到花莲租专线应该非常贵喔..... 06/29 11:05
31F:→ lovespre: FORTI的ROUTING应该少加了 06/29 11:06
32F:推 tnshoho: 小弟觉得是fw policy没设定好,整个routing可能也有问题 06/29 11:54
33F:→ tnshoho: FG的IPSec VPN有三种作法,先确定VPN确定两边有通 06/29 11:55
34F:→ tnshoho: 再来侦测後面Routing我觉得应该会比较好(个人经验) 06/29 11:56
35F:→ tnshoho: 毕竟VPN没通,啥都不用讲了..厂商之前给我VPN手册 06/29 11:56
36F:→ tnshoho: 做了也没效果没通...Orz..还是翻原厂的几种作法才通 06/29 11:57
37F:→ nksp: 感谢以上大大们热心的建议,小弟会再去检查测试,若还是不行 06/29 17:26
38F:→ nksp: 会再附上详细设定请大大们指教,感谢 06/29 17:26
39F:→ gogohc: 查修不要跳离 OSI Model 不然只会越查越乱 06/29 17:52
40F:推 asdfghjklasd: 我建议以後都不要用Firewall做了啦 06/29 18:33
41F:→ tnshoho: 拉长专解决一切 ~ 06/29 18:50
42F:→ asdfghjklasd: 不一定常专,要做好的VPN有好的设备 06/29 18:54
43F:→ asdfghjklasd: 没钱一点的可以用MPLS VPN 06/29 18:54
44F:→ infosec: 把core/firewall的config 传给asdf大大看 应该就解了 06/29 19:05
45F:→ infosec: VPN这东西我还是习惯用ASA/ROUTER来做 06/29 19:06
46F:推 asdfghjklasd: 同意用Router or ASA 做... 06/29 19:26
47F:推 gogohc: 推楼楼XDD 06/29 19:42
48F:→ gogohc: 上 06/29 19:42
49F:嘘 a6530466: IPsec 我倒都是用各类的防火墙做,大概是客户都没 Route 06/30 00:14
50F:→ a6530466: r 吧,哈。 06/30 00:14
51F:→ a6530466: 手残按错,按到嘘文 06/30 00:15
52F:→ a6530466: 等会补一个推文回来,抱歉了。 06/30 00:16
53F:推 a6530466: 补推一下 06/30 01:09
54F:推 sssxyz: 你的hp应该default路由都往FW指吧? 06/30 06:47
55F:→ sssxyz: 可以使用较新版本的Fortios 有VPN引导精灵这个功能 06/30 06:48
56F:→ sssxyz: 再来是建议你用route based的IPsec VPN路由指向虚拟介面 06/30 06:49
57F:→ sssxyz: 让policy单纯是做ACL的控管 专注在路由建立跟VPN tunnel 06/30 06:50
58F:推 sssxyz: 先看看你IPsec VPN tunnel的状态是否正常跟log吧 06/30 06:53