作者freeunixer (離自相空她相)
看板MIS
標題[請益] Forti 的 client 跨 site VPN
時間Wed Aug 4 23:29:54 2021
想請問,
兩端已經用 forti 建好一個 siteA <-> siteB 的通道,兩端 lan 可通沒有問題
但 fgA 有 l2tp(/ipsec) client 需要經通道進到 fgB 的 lan.
已經設定了
fgA fw rule 允許 l2tp/ipsec 介面(來源)經 sitevpn 介面出去(目的),
fgB fw rule 允許 fgA 的 VPN client 網段經過 sitevpn 介面進到指定 lan 網段
不知還需要設定哪些其它地方?
--
讀者審校網試行版(2018/1/1 更新網址)
http://readerreviewnet.processoroverload.net/
(哲、史、法、政、經、社,人文翻譯書籍錯譯提報網)
◎洪蘭"毀人不倦"舉報專區
http://tinyurl.com/ybfmzwne
讀者需自救,有錯自己改...
--
※ 編輯: freeunixer (60.250.90.238 臺灣), 08/04/2021 23:35:48
1F:推 sssxyz: split tunnel? maybe 放路由給 client 08/04 23:51
2F:→ JerryBoy: 先確定client的路由正確,往你要的地方去 08/05 01:33
3F:→ JerryBoy: 再來談規則是否有放行 08/05 01:33
4F:→ freeunixer: 建 site to site 的時候,靜態路由就已經指好了啊.. 08/05 01:56
5F:推 lovespre: IPsec tunnle 都是用精靈建立的,建完只要能起來就通了 08/05 01:58
6F:→ lovespre: 像4樓說的 static route不用特別去設定 08/05 01:58
7F:→ lovespre: 你再去policy去新增規則就好 08/05 01:59
8F:→ freeunixer: 我現在就是在問我還需要設什麼規則... 08/05 02:29
9F:推 lovespre: 預設就是all to all 阿,要限制service 還是IP看你環境 08/05 03:02
10F:→ lovespre: 要怎麼規範 08/05 03:03
11F:推 lovespre: forti UI已經很直覺採用port/zone to port/zone 的觀念 08/05 03:06
12F:→ lovespre: 如果連IP要怎麼加到規則中都不是很清楚的話建議找廠商 08/05 03:07
13F:→ fonzae: 路由要設,如果另一端有多個網段,你還是得自行加 08/05 06:15
14F:→ fonzae: 然後IP請用物件先建好在指定 08/05 06:16
15F:推 sssxyz: split tunnel下client的路由是需要額外設定的 08/05 08:18
16F:→ sssxyz: 可以先packet filter看看client的包有沒有上來 08/05 08:20
17F:→ freeunixer: 我是用 l2tp,沒有開啟 split tunnel... 08/05 13:21
18F:→ asdfghjklasd: 就路由問題.. fonzae 正姐 08/05 14:54
19F:→ asdfghjklasd: 這種方式我弄過很多次都嘛沒問題 08/05 14:55
20F:→ asdfghjklasd: 而且我還是連地端上雲端 08/05 14:55
21F:→ freeunixer: 設 policy route ? 08/05 16:28
22F:→ ddoll288: 不會設定route請重修網路學分 08/06 00:58
23F:→ ddoll288: 小台fg只有static route可以設,大台才有RIP OSPF 可以設 08/06 00:59
24F:→ ddoll288: 這是超基礎的Layer3設定啊 08/06 01:00
26F:→ freeunixer: 如果你自己沒用過的話,何必硬要來參一腳呢? 08/06 01:18
27F:→ freeunixer: 有什麼路由模式可以用我會不知道? 08/06 01:19
28F:→ freeunixer: 我不過就想確定上面只留路由兩個字的,是不是指政策... 08/06 01:22
29F:→ ddoll288: 正常情況 路由 跟 政策 都要設定,路由 管 封包路線 08/06 02:56
30F:→ ddoll288: 政策 管 封包能不能通過. 08/06 02:58
31F:→ ddoll288: Routing Policy就是更精準的static route 08/06 03:02
32F:→ ddoll288: 樓上J大已經講得很清楚了,請多複習網路基礎 08/06 03:09
33F:→ ddoll288: 順便講一下,中文看不懂,可以看英文,fg的文件寫得很好 08/06 03:24
34F:→ ddoll288: 要不然為什麼 policy route 是放在 network 設定, 08/06 03:30
35F:→ ddoll288: 不是放在 Policy & Objects? 08/06 03:31
36F:推 lovespre: 你想省錢可以直接找原廠support 只要你的license有效 08/09 22:25
37F:→ lovespre: 但都是英文support 08/09 22:25
38F:推 littlecut: 小台的是多小台@@?60系列有吧,Advanced Routing沒有 08/09 23:16
39F:→ littlecut: 開而已吧 08/09 23:16
40F:→ littlecut: 我指動態路由 08/09 23:17
41F:推 littlecut: 另外建議原PO,可以的話,架構圖大概畫一下XD,有時候 08/09 23:33
42F:→ littlecut: 文字敘述配上圖比較好找問題 08/09 23:33
43F:→ freeunixer: 到 ip pool 設個 ol 到 siteA 的 gw ip 當成外部 if 08/09 23:38
44F:→ freeunixer: 再到 fw rule 把對應的規則改用那個 gw nat mode 出去 08/09 23:40
45F:→ freeunixer: 跟上面講的設什麼路由都沒關係... 08/09 23:50
46F:推 lovespre: 把架構圖大概畫一下不然用說的有時很難理解題需求的 08/10 04:26
47F:→ lovespre: 不然就是直接打原廠找tech support 08/10 04:27
48F:→ ddoll288: 用nat來逃避路由設定也可以,但是就只能單向通訊了 08/13 08:26
49F:→ ddoll288: 雙向通訊還是得乖乖的設定路由 08/13 08:26
50F:→ freeunixer: vpn client 撥入有人在做雙向? 08/13 12:45
51F:推 a12321a: 你的比較像l2tp over IPSec 架構 你如果site to site做好 08/13 12:55
53F:→ a12321a: 三步驟開始看 不用看路由 08/13 12:55
54F:→ a12321a: 噢對了 做完就diagnose看看現象有沒有出來 08/13 12:57
55F:→ freeunixer: 對啊,我文裡就已經寫我是 client 要透過 s2s 跨防火牆 08/13 12:57
56F:→ freeunixer: 我就不知道一堆人看都不仔細看就一直在講些啥... 08/13 12:58
57F:→ freeunixer: 上面那篇文我找時間看一下,謝謝.. 08/13 12:58
58F:推 a12321a: 沒事啦 大家比較熱心 有人回應是好事 08/13 13:03
59F:→ freeunixer: 那個 l2tp 我也已經設好了,之前的問題其實是, 08/13 13:56
60F:→ freeunixer: client 進 a 後,沒辦法直接穿過 ab 間的 tunnel 到 b 08/13 13:57
61F:→ freeunixer: 後來只好從 ip pool 搞個 ext if gw 當 client 的 nat 08/13 13:59
62F:→ freeunixer: 不過除了 l2tp 需要到 cli 設定 ip 段以外,其他的 08/13 14:13
63F:→ freeunixer: 其實都可以在 gui 設定,為什麼看大家還是喜歡 po cli 08/13 14:14
64F:→ freeunixer: 的設定方式? 08/13 14:14
65F:推 a12321a: 我貼給你那篇單純就是像你說的設定ip pool要用cli 另外使 08/13 15:07
66F:→ a12321a: 用cli跟gui 取決習慣 剛入行SI練習lab也都是cli為主 如果 08/13 15:07
67F:→ a12321a: 入行甲方可能會比較喜歡GUI畢竟操作方便為主 08/13 15:07
68F:推 cjoe: 笑死,我懂這個感覺。我在別的地方發問也是會遇到尬聊的 08/13 20:49
69F:→ cjoe: 不是PTT 08/13 20:49
70F:推 Wishmaster: forti舊版本vpn有些設定gui我印象中看不到... 08/14 07:21
71F:推 sssxyz: 設定nat解決是另一種路由問題 表示lan中尚有路由不可達… 08/14 13:39
72F:→ freeunixer: 照你那種說法,你乾脆說 還有其他要設定 不是更厲害? 08/14 14:11
73F:→ freeunixer: 如果你自己沒用過,哪來自信丟一句 XX 問題,你概念不足 08/14 14:13
74F:→ freeunixer: 我討厭的這種趨近於講幹話的回應,你有沒有理解? 08/14 14:13
75F:→ freeunixer: 我上面是不是有問: 你說路由,那是要設哪個路由? 08/14 14:15
76F:→ freeunixer: 你倒是吱個聲啊? 08/14 14:15
77F:→ freeunixer: 後面來句 NAT 也是路由,這不是馬後炮? 08/14 14:22
78F:推 sssxyz: 你是發問者 其他人提供意見給你 有沒有幫助到你自己決定 08/14 14:32
79F:→ sssxyz: 但跟你對話我也自認並未失禮 其他人我不知道 08/14 14:33
80F:→ sssxyz: 但若是因為其他人然後轉嫁你的情緒 那其實真的大可不必 08/14 14:34
81F:推 sssxyz: 自己的狀況自己最清楚 對其他人都是黑箱 只能用猜的 08/14 14:41
82F:→ sssxyz: 要手把手協助你處理到好 這不盡現實 其他人也沒有絕對義務 08/14 14:42
83F:→ sssxyz: 如果和其他人的這樣一個互動 你會覺得是幹話 08/14 14:43
84F:→ sssxyz: 那我不知道往後你的發問 還有誰想要跟你做互動 08/14 14:44
85F:→ sssxyz: 你有沒有理解? 08/14 14:45
86F:→ freeunixer: 這種的的確是不必. 08/14 15:15
87F:→ freeunixer: 可能越回越讓人上火而已. 08/14 15:16
88F:→ deadwood: 題外話,樓上前面也噓過人,要不要換個立場想想? 08/16 10:30
89F:→ deadwood: 人家也是來問個問題,推文在討論而已 08/16 10:30
90F:→ deadwood: 回到問題上,你必須在siteA把l2tp client的IPNAT出去 08/16 10:52
91F:→ deadwood: 這代表site B不認得l2tp client的IP,因為沒有路由 08/16 10:53
92F:→ deadwood: 這樣你懂要把路由加在那裡了吧? 08/16 10:54
93F:→ deadwood: 最好是client vpn就不用做雙向啦,traffic過去不用回來? 08/16 10:55
94F:推 goodga: 我看原po蠻常問Forti問題 好奇是沒原廠/廠商可以support 08/16 11:49
95F:→ goodga: 嗎? 08/16 11:49
96F:→ freeunixer: 別的不提,就問,走 nat 去不能雙向,有路由去才能回來. 08/16 14:52
97F:→ freeunixer: 這是什麼意思. 08/16 14:52
98F:→ freeunixer: 我發的問聞如果有解決,答案都有在推文裡,這篇也一樣. 08/16 15:14
99F:→ freeunixer: 你扯那麼多有的沒的還說我"噓過人",噓過人是不行嗎? 08/16 15:15
100F:→ freeunixer: 但這也不重要,仿上你可以截圖/或像我一樣只要文字說明 08/16 15:17
101F:→ freeunixer: 證明你有設過 L2TP/IPSec client 而且有設雙向可回去. 08/16 15:17
102F:→ freeunixer: 看要怎樣我們後面再慢慢來! 08/16 15:18
103F:→ deadwood: 別人回你的都可以不信,你來是想解決問題還是想吵架? 08/16 15:59
104F:→ deadwood: 現在問問題的是你,我建議你先把設定檔跟架構圖附上來 08/16 15:59
105F:→ deadwood: 不是在這邊要求別人滿足你,還要證明可以滿足 08/16 16:00
106F:→ deadwood: 要不要寫個POC報告給你? 08/16 16:00
107F:推 sssxyz: 網友=廠商? 先證明會後面再慢慢來...你在面試? 08/16 17:49
108F:→ deadwood: 現在你知道為什麼這種可以找廠商的是他要來這邊了(笑 08/16 17:50
109F:→ sssxyz: 看來是沒有理解啊 08/16 17:50
110F:→ fonzae: 其實啊! 精靈引導介面幫你省略了很多東西呢! 08/16 21:03
111F:→ fonzae: 要不,你不靠精靈,一步一步設定,看看會不會碰到路由? 08/16 21:03
112F:推 lovespre: forti用GUI好像一定要靠精靈才能建IPsec 用指令我沒試過 08/17 02:39
113F:→ lovespre: 印象用精靈時可以增加多個submask 完成後路由一起建立 08/17 02:41
114F:→ lovespre: 但圖沒給用文字的看不出你想問的問題到底卡在哪 08/17 02:42
115F:→ freeunixer: 我問題解決了啊,只是有人一直在扯個沒完... 08/17 02:52
116F:推 lovespre: 兩邊路由通了再從policy限制你要通過的12IP 08/17 02:52
117F:→ deadwood: 是啊,自己上來問問題,別人熱心回的點都不相信 08/17 09:20
118F:→ deadwood: 自己瞎摸摸碰巧解決了,就一副我最屌你們都不懂的樣子 08/17 09:21
119F:→ deadwood: 既然這麼行,要不要解釋一下為什麼你的方法解掉了? 08/17 09:23
120F:推 bogege: 甲方的味道 08/24 02:17
121F:→ doublehow: 你上來問問題的不用這麼兇啦 09/05 22:22