作者nksp (Tu m'aimes?)
看板MIS
標題[請益] VPN連線問題
時間Sun Jun 28 23:56:46 2015
大家好,繼上篇自介後,這篇說明我遇到的問題
目前公司需要建置VPN,使用設備是:Fortigate防火牆*2 HP L3 Switch*2
然後從SW去切VLAN,讓各點VLAN能夠互通。
(參考圖:
http://i.imgur.com/IUDEohm.png)
在向廠商求(挨)救(罵)與自己一知半解的自學之下,目前基本的設定都做好了
只是在實際裝機的時候兩點之間卻還是不能互相Ping通。
看了FW與SW的設定好久都看不出什麼問題,現場接線也都正確。請廠商來看FW設定也都
正確,最後找到可能是下面SW的問題,FW花蓮端有監測到從台北丟過來的封包,
可是卻無法轉送到下面的SW的GW與任一VLAN的GW,想請問板友問題可能出在哪裡呢?
現場已查明過接線正常,只是花蓮端的現只放一台SW,沒有Stack,不知道有無影響?
順便問下有熟HP L3 Switch的板友嗎?謝謝!
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.83.222.49
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1435507008.A.2FB.html
1F:推 gogohc: 檢查一下 你花蓮端 Client 設備到 花蓮 GW 通嗎?06/29 00:07
目前花蓮端有一台主控電腦透過Console設定FW與SW,然後用遠端桌面連入操控…這台主控有兩張網卡,一張設定對外的實體IP,一張接HP SW測試是否有取得DHCP IP,但目前處於離線狀態…
2F:推 gogohc: 檢查一下你的 HP 的四個 GW SVI 在嗎06/29 00:11
這是什麼?還請大大說明?
3F:→ anlan: 你的圖..真的看不太懂...確認一下routing有沒有走對吧06/29 00:54
對不起讓大大見笑了~FW的Route都有確認過設定無誤,我再想辦法貼防火牆route設定的圖?
W來。
4F:→ deadwood: 兩個網站的防火牆看一下,兩站對傳的流量NAT要除外06/29 08:25
這是指?我有看過FW的monitor 但看不出個所以然來。
5F:推 lovespre: 防火牆接下去的設備AB是什麼? 主機當router用? 然後再06/29 08:29
6F:→ lovespre: 接swtich?06/29 08:31
7F:→ lovespre: 靠 看懂了....06/29 08:31
設備AB各是兩端的主控電腦,可透過遠端桌面更改FW OR SW設定,因為現階段我還不會設定
fw&sw直接從遠端連入,只好先採用這樣的方式…
A5120
8F:推 asdfghjklasd: 我若是SW廠商我只會測SW以下,若是FW廠商只會測對接06/29 08:35
9F:→ asdfghjklasd: 這是正常的廠商。除非你付給其中一家Config費用了06/29 08:36
10F:→ asdfghjklasd: 以上是指你現在的廠商 06/29 08:36
11F:→ asdfghjklasd: 基本上就是查 FW Routing & SW Routing06/29 08:41
感謝asdf大大的指點,小弟會從這方向去查修
12F:→ asdfghjklasd: 不過就算這次讓你解了,之後TS也是有問題06/29 08:42
這工作對小弟來說幾乎全部都是從頭來過,我很願意學習解決問題,但很多前期網路規劃似
乎一開始就要做好,否則到後面會出現一堆問題,就如大大您所說的那樣…
有談合約內容還要再花時間研究看看…
13F:推 tnshoho: 問一下,中間這段是專線VPN還是Internet做IPSec VPN?06/29 08:59
後者,用Internet做IPSec VPN
※ 編輯: nksp (111.83.210.229), 06/29/2015 09:09:20
14F:→ deadwood: 透過internet做VPN,最容易忽略掉NAT免除這個點 06/29 09:13
15F:→ deadwood: 看你的圖應該防火牆是對外GW,所以你的內網一定全部有 06/29 09:14
16F:→ deadwood: NAT(PAT)才能上網,但是site to site vpn要起來 06/29 09:15
17F:→ deadwood: 兩site之間的流量就不能NAT 06/29 09:18
18F:→ deadwood: 另外還有其他人提到,防火牆上的rouing也要設定正確 06/29 09:20
19F:→ deadwood: FORTI做S2S VPN個人沒做過,你可能要看一下policy是不是 06/29 09:25
20F:→ deadwood: 有把VPN用的policy拿到最上面,因為看起來forti預設有 06/29 09:32
21F:→ deadwood: 把VPN流量不做NAT 06/29 09:32
22F:推 asdfghjklasd: A5120-EI or SI 都是 Lite L3... 06/29 09:38
23F:→ asdfghjklasd: 你的問題應該在整串的Routing 規劃 06/29 09:38
24F:推 gogohc: 個人也是覺得L3 routing去查查看 原PO FQ廠商跟他說兩端VP 06/29 10:06
25F:→ gogohc: N沒問題,從底下到FW怎麼怎的要確認一下通常好一點的FW VP 06/29 10:06
26F:→ gogohc: N建好會自動起一個對應的Policy 06/29 10:06
27F:→ asdfghjklasd: 一般的Site to Site 只會通 LAN IP 06/29 10:27
28F:→ asdfghjklasd: FW LAN IP 06/29 10:27
29F:推 lovespre: 公司都不願意請一個專業的人來管理當然省錢用IPSEC..... 06/29 11:04
30F:→ lovespre: 台北到花蓮租專線應該非常貴喔..... 06/29 11:05
31F:→ lovespre: FORTI的ROUTING應該少加了 06/29 11:06
32F:推 tnshoho: 小弟覺得是fw policy沒設定好,整個routing可能也有問題 06/29 11:54
33F:→ tnshoho: FG的IPSec VPN有三種作法,先確定VPN確定兩邊有通 06/29 11:55
34F:→ tnshoho: 再來偵測後面Routing我覺得應該會比較好(個人經驗) 06/29 11:56
35F:→ tnshoho: 畢竟VPN沒通,啥都不用講了..廠商之前給我VPN手冊 06/29 11:56
36F:→ tnshoho: 做了也沒效果沒通...Orz..還是翻原廠的幾種作法才通 06/29 11:57
37F:→ nksp: 感謝以上大大們熱心的建議,小弟會再去檢查測試,若還是不行 06/29 17:26
38F:→ nksp: 會再附上詳細設定請大大們指教,感謝 06/29 17:26
39F:→ gogohc: 查修不要跳離 OSI Model 不然只會越查越亂 06/29 17:52
40F:推 asdfghjklasd: 我建議以後都不要用Firewall做了啦 06/29 18:33
41F:→ tnshoho: 拉長專解決一切 ~ 06/29 18:50
42F:→ asdfghjklasd: 不一定常專,要做好的VPN有好的設備 06/29 18:54
43F:→ asdfghjklasd: 沒錢一點的可以用MPLS VPN 06/29 18:54
44F:→ infosec: 把core/firewall的config 傳給asdf大大看 應該就解了 06/29 19:05
45F:→ infosec: VPN這東西我還是習慣用ASA/ROUTER來做 06/29 19:06
46F:推 asdfghjklasd: 同意用Router or ASA 做... 06/29 19:26
47F:推 gogohc: 推樓樓XDD 06/29 19:42
48F:→ gogohc: 上 06/29 19:42
49F:噓 a6530466: IPsec 我倒都是用各類的防火牆做,大概是客戶都沒 Route 06/30 00:14
50F:→ a6530466: r 吧,哈。 06/30 00:14
51F:→ a6530466: 手殘按錯,按到噓文 06/30 00:15
52F:→ a6530466: 等會補一個推文回來,抱歉了。 06/30 00:16
53F:推 a6530466: 補推一下 06/30 01:09
54F:推 sssxyz: 你的hp應該default路由都往FW指吧? 06/30 06:47
55F:→ sssxyz: 可以使用較新版本的Fortios 有VPN引導精靈這個功能 06/30 06:48
56F:→ sssxyz: 再來是建議你用route based的IPsec VPN路由指向虛擬介面 06/30 06:49
57F:→ sssxyz: 讓policy單純是做ACL的控管 專注在路由建立跟VPN tunnel 06/30 06:50
58F:推 sssxyz: 先看看你IPsec VPN tunnel的狀態是否正常跟log吧 06/30 06:53