作者freeunixer (离自相空她相)
看板MIS
标题[请益] Forti 的 client 跨 site VPN
时间Wed Aug 4 23:29:54 2021
想请问,
两端已经用 forti 建好一个 siteA <-> siteB 的通道,两端 lan 可通没有问题
但 fgA 有 l2tp(/ipsec) client 需要经通道进到 fgB 的 lan.
已经设定了
fgA fw rule 允许 l2tp/ipsec 介面(来源)经 sitevpn 介面出去(目的),
fgB fw rule 允许 fgA 的 VPN client 网段经过 sitevpn 介面进到指定 lan 网段
不知还需要设定哪些其它地方?
--
读者审校网试行版(2018/1/1 更新网址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、经、社,人文翻译书籍错译提报网)
◎洪兰"毁人不倦"举报专区
http://tinyurl.com/ybfmzwne
读者需自救,有错自己改...
--
※ 编辑: freeunixer (60.250.90.238 台湾), 08/04/2021 23:35:48
1F:推 sssxyz: split tunnel? maybe 放路由给 client 08/04 23:51
2F:→ JerryBoy: 先确定client的路由正确,往你要的地方去 08/05 01:33
3F:→ JerryBoy: 再来谈规则是否有放行 08/05 01:33
4F:→ freeunixer: 建 site to site 的时候,静态路由就已经指好了啊.. 08/05 01:56
5F:推 lovespre: IPsec tunnle 都是用精灵建立的,建完只要能起来就通了 08/05 01:58
6F:→ lovespre: 像4楼说的 static route不用特别去设定 08/05 01:58
7F:→ lovespre: 你再去policy去新增规则就好 08/05 01:59
8F:→ freeunixer: 我现在就是在问我还需要设什麽规则... 08/05 02:29
9F:推 lovespre: 预设就是all to all 阿,要限制service 还是IP看你环境 08/05 03:02
10F:→ lovespre: 要怎麽规范 08/05 03:03
11F:推 lovespre: forti UI已经很直觉采用port/zone to port/zone 的观念 08/05 03:06
12F:→ lovespre: 如果连IP要怎麽加到规则中都不是很清楚的话建议找厂商 08/05 03:07
13F:→ fonzae: 路由要设,如果另一端有多个网段,你还是得自行加 08/05 06:15
14F:→ fonzae: 然後IP请用物件先建好在指定 08/05 06:16
15F:推 sssxyz: split tunnel下client的路由是需要额外设定的 08/05 08:18
16F:→ sssxyz: 可以先packet filter看看client的包有没有上来 08/05 08:20
17F:→ freeunixer: 我是用 l2tp,没有开启 split tunnel... 08/05 13:21
18F:→ asdfghjklasd: 就路由问题.. fonzae 正姐 08/05 14:54
19F:→ asdfghjklasd: 这种方式我弄过很多次都嘛没问题 08/05 14:55
20F:→ asdfghjklasd: 而且我还是连地端上云端 08/05 14:55
21F:→ freeunixer: 设 policy route ? 08/05 16:28
22F:→ ddoll288: 不会设定route请重修网路学分 08/06 00:58
23F:→ ddoll288: 小台fg只有static route可以设,大台才有RIP OSPF 可以设 08/06 00:59
24F:→ ddoll288: 这是超基础的Layer3设定啊 08/06 01:00
26F:→ freeunixer: 如果你自己没用过的话,何必硬要来参一脚呢? 08/06 01:18
27F:→ freeunixer: 有什麽路由模式可以用我会不知道? 08/06 01:19
28F:→ freeunixer: 我不过就想确定上面只留路由两个字的,是不是指政策... 08/06 01:22
29F:→ ddoll288: 正常情况 路由 跟 政策 都要设定,路由 管 封包路线 08/06 02:56
30F:→ ddoll288: 政策 管 封包能不能通过. 08/06 02:58
31F:→ ddoll288: Routing Policy就是更精准的static route 08/06 03:02
32F:→ ddoll288: 楼上J大已经讲得很清楚了,请多复习网路基础 08/06 03:09
33F:→ ddoll288: 顺便讲一下,中文看不懂,可以看英文,fg的文件写得很好 08/06 03:24
34F:→ ddoll288: 要不然为什麽 policy route 是放在 network 设定, 08/06 03:30
35F:→ ddoll288: 不是放在 Policy & Objects? 08/06 03:31
36F:推 lovespre: 你想省钱可以直接找原厂support 只要你的license有效 08/09 22:25
37F:→ lovespre: 但都是英文support 08/09 22:25
38F:推 littlecut: 小台的是多小台@@?60系列有吧,Advanced Routing没有 08/09 23:16
39F:→ littlecut: 开而已吧 08/09 23:16
40F:→ littlecut: 我指动态路由 08/09 23:17
41F:推 littlecut: 另外建议原PO,可以的话,架构图大概画一下XD,有时候 08/09 23:33
42F:→ littlecut: 文字叙述配上图比较好找问题 08/09 23:33
43F:→ freeunixer: 到 ip pool 设个 ol 到 siteA 的 gw ip 当成外部 if 08/09 23:38
44F:→ freeunixer: 再到 fw rule 把对应的规则改用那个 gw nat mode 出去 08/09 23:40
45F:→ freeunixer: 跟上面讲的设什麽路由都没关系... 08/09 23:50
46F:推 lovespre: 把架构图大概画一下不然用说的有时很难理解题需求的 08/10 04:26
47F:→ lovespre: 不然就是直接打原厂找tech support 08/10 04:27
48F:→ ddoll288: 用nat来逃避路由设定也可以,但是就只能单向通讯了 08/13 08:26
49F:→ ddoll288: 双向通讯还是得乖乖的设定路由 08/13 08:26
50F:→ freeunixer: vpn client 拨入有人在做双向? 08/13 12:45
51F:推 a12321a: 你的比较像l2tp over IPSec 架构 你如果site to site做好 08/13 12:55
53F:→ a12321a: 三步骤开始看 不用看路由 08/13 12:55
54F:→ a12321a: 噢对了 做完就diagnose看看现象有没有出来 08/13 12:57
55F:→ freeunixer: 对啊,我文里就已经写我是 client 要透过 s2s 跨防火墙 08/13 12:57
56F:→ freeunixer: 我就不知道一堆人看都不仔细看就一直在讲些啥... 08/13 12:58
57F:→ freeunixer: 上面那篇文我找时间看一下,谢谢.. 08/13 12:58
58F:推 a12321a: 没事啦 大家比较热心 有人回应是好事 08/13 13:03
59F:→ freeunixer: 那个 l2tp 我也已经设好了,之前的问题其实是, 08/13 13:56
60F:→ freeunixer: client 进 a 後,没办法直接穿过 ab 间的 tunnel 到 b 08/13 13:57
61F:→ freeunixer: 後来只好从 ip pool 搞个 ext if gw 当 client 的 nat 08/13 13:59
62F:→ freeunixer: 不过除了 l2tp 需要到 cli 设定 ip 段以外,其他的 08/13 14:13
63F:→ freeunixer: 其实都可以在 gui 设定,为什麽看大家还是喜欢 po cli 08/13 14:14
64F:→ freeunixer: 的设定方式? 08/13 14:14
65F:推 a12321a: 我贴给你那篇单纯就是像你说的设定ip pool要用cli 另外使 08/13 15:07
66F:→ a12321a: 用cli跟gui 取决习惯 刚入行SI练习lab也都是cli为主 如果 08/13 15:07
67F:→ a12321a: 入行甲方可能会比较喜欢GUI毕竟操作方便为主 08/13 15:07
68F:推 cjoe: 笑死,我懂这个感觉。我在别的地方发问也是会遇到尬聊的 08/13 20:49
69F:→ cjoe: 不是PTT 08/13 20:49
70F:推 Wishmaster: forti旧版本vpn有些设定gui我印象中看不到... 08/14 07:21
71F:推 sssxyz: 设定nat解决是另一种路由问题 表示lan中尚有路由不可达… 08/14 13:39
72F:→ freeunixer: 照你那种说法,你乾脆说 还有其他要设定 不是更厉害? 08/14 14:11
73F:→ freeunixer: 如果你自己没用过,哪来自信丢一句 XX 问题,你概念不足 08/14 14:13
74F:→ freeunixer: 我讨厌的这种趋近於讲干话的回应,你有没有理解? 08/14 14:13
75F:→ freeunixer: 我上面是不是有问: 你说路由,那是要设哪个路由? 08/14 14:15
76F:→ freeunixer: 你倒是吱个声啊? 08/14 14:15
77F:→ freeunixer: 後面来句 NAT 也是路由,这不是马後炮? 08/14 14:22
78F:推 sssxyz: 你是发问者 其他人提供意见给你 有没有帮助到你自己决定 08/14 14:32
79F:→ sssxyz: 但跟你对话我也自认并未失礼 其他人我不知道 08/14 14:33
80F:→ sssxyz: 但若是因为其他人然後转嫁你的情绪 那其实真的大可不必 08/14 14:34
81F:推 sssxyz: 自己的状况自己最清楚 对其他人都是黑箱 只能用猜的 08/14 14:41
82F:→ sssxyz: 要手把手协助你处理到好 这不尽现实 其他人也没有绝对义务 08/14 14:42
83F:→ sssxyz: 如果和其他人的这样一个互动 你会觉得是干话 08/14 14:43
84F:→ sssxyz: 那我不知道往後你的发问 还有谁想要跟你做互动 08/14 14:44
85F:→ sssxyz: 你有没有理解? 08/14 14:45
86F:→ freeunixer: 这种的的确是不必. 08/14 15:15
87F:→ freeunixer: 可能越回越让人上火而已. 08/14 15:16
88F:→ deadwood: 题外话,楼上前面也嘘过人,要不要换个立场想想? 08/16 10:30
89F:→ deadwood: 人家也是来问个问题,推文在讨论而已 08/16 10:30
90F:→ deadwood: 回到问题上,你必须在siteA把l2tp client的IPNAT出去 08/16 10:52
91F:→ deadwood: 这代表site B不认得l2tp client的IP,因为没有路由 08/16 10:53
92F:→ deadwood: 这样你懂要把路由加在那里了吧? 08/16 10:54
93F:→ deadwood: 最好是client vpn就不用做双向啦,traffic过去不用回来? 08/16 10:55
94F:推 goodga: 我看原po蛮常问Forti问题 好奇是没原厂/厂商可以support 08/16 11:49
95F:→ goodga: 吗? 08/16 11:49
96F:→ freeunixer: 别的不提,就问,走 nat 去不能双向,有路由去才能回来. 08/16 14:52
97F:→ freeunixer: 这是什麽意思. 08/16 14:52
98F:→ freeunixer: 我发的问闻如果有解决,答案都有在推文里,这篇也一样. 08/16 15:14
99F:→ freeunixer: 你扯那麽多有的没的还说我"嘘过人",嘘过人是不行吗? 08/16 15:15
100F:→ freeunixer: 但这也不重要,仿上你可以截图/或像我一样只要文字说明 08/16 15:17
101F:→ freeunixer: 证明你有设过 L2TP/IPSec client 而且有设双向可回去. 08/16 15:17
102F:→ freeunixer: 看要怎样我们後面再慢慢来! 08/16 15:18
103F:→ deadwood: 别人回你的都可以不信,你来是想解决问题还是想吵架? 08/16 15:59
104F:→ deadwood: 现在问问题的是你,我建议你先把设定档跟架构图附上来 08/16 15:59
105F:→ deadwood: 不是在这边要求别人满足你,还要证明可以满足 08/16 16:00
106F:→ deadwood: 要不要写个POC报告给你? 08/16 16:00
107F:推 sssxyz: 网友=厂商? 先证明会後面再慢慢来...你在面试? 08/16 17:49
108F:→ deadwood: 现在你知道为什麽这种可以找厂商的是他要来这边了(笑 08/16 17:50
109F:→ sssxyz: 看来是没有理解啊 08/16 17:50
110F:→ fonzae: 其实啊! 精灵引导介面帮你省略了很多东西呢! 08/16 21:03
111F:→ fonzae: 要不,你不靠精灵,一步一步设定,看看会不会碰到路由? 08/16 21:03
112F:推 lovespre: forti用GUI好像一定要靠精灵才能建IPsec 用指令我没试过 08/17 02:39
113F:→ lovespre: 印象用精灵时可以增加多个submask 完成後路由一起建立 08/17 02:41
114F:→ lovespre: 但图没给用文字的看不出你想问的问题到底卡在哪 08/17 02:42
115F:→ freeunixer: 我问题解决了啊,只是有人一直在扯个没完... 08/17 02:52
116F:推 lovespre: 两边路由通了再从policy限制你要通过的12IP 08/17 02:52
117F:→ deadwood: 是啊,自己上来问问题,别人热心回的点都不相信 08/17 09:20
118F:→ deadwood: 自己瞎摸摸碰巧解决了,就一副我最屌你们都不懂的样子 08/17 09:21
119F:→ deadwood: 既然这麽行,要不要解释一下为什麽你的方法解掉了? 08/17 09:23
120F:推 bogege: 甲方的味道 08/24 02:17
121F:→ doublehow: 你上来问问题的不用这麽凶啦 09/05 22:22