想请问,
两端已经用 forti 建好一个 siteA <-> siteB 的通道,两端 lan 可通没有问题
但 fgA 有 l2tp(/ipsec) client 需要经通道进到 fgB 的 lan.
已经设定了
fgA fw rule 允许 l2tp/ipsec 接口(来源)经 sitevpn 接口出去(目的),
fgB fw rule 允许 fgA 的 VPN client 网段经过 sitevpn 接口进到指定 lan 网段
不知还需要设定哪些其它地方?
作者: sssxyz (只出没大佳基隆河左岸) 2021-08-04 23:51:00
split tunnel? maybe 放路由给 client
先确定client的路由正确,往你要的地方去再来谈规则是否有放行
建 site to site 的时候,静态路由就已经指好了啊..
作者:
lovespre (Sprewell)
2021-08-05 01:58:00IPsec tunnle 都是用精灵建立的,建完只要能起来就通了像4楼说的 static route不用特别去设定你再去policy去新增规则就好
作者:
lovespre (Sprewell)
2021-08-05 03:02:00默认就是all to all 阿,要限制service 还是IP看你环境要怎么规范forti UI已经很直觉采用port/zone to port/zone 的观念如果连IP要怎么加到规则中都不是很清楚的话建议找厂商
作者: fonzae (fonzae) 2021-08-05 06:15:00
路由要设,如果另一端有多个网段,你还是得自行加然后IP请用物件先建好在指定
作者: sssxyz (只出没大佳基隆河左岸) 2021-08-05 08:18:00
split tunnel下client的路由是需要额外设定的可以先packet filter看看client的包有没有上来
我是用 l2tp,没有开启 split tunnel...
就路由问题.. fonzae 正姐这种方式我弄过很多次都嘛没问题而且我还是连地端上云端
不会设定route请重修网络学分小台fg只有static route可以设,大台才有RIP OSPF 可以设这是超基础的Layer3设定啊
正常情况 路由 跟 政策 都要设定,路由 管 封包路线政策 管 封包能不能通过.Routing Policy就是更精准的static route楼上J大已经讲得很清楚了,请多复习网络基础顺便讲一下,中文看不懂,可以看英文,fg的文件写得很好要不然为什么 policy route 是放在 network 设定,不是放在 Policy & Objects?
作者:
lovespre (Sprewell)
2021-08-09 22:25:00你想省钱可以直接找原厂support 只要你的license有效但都是英文support
小台的是多小台@@?60系列有吧,Advanced Routing没有开而已吧我指动态路由另外建议原PO,可以的话,架构图大概画一下XD,有时候文字叙述配上图比较好找问题
到 ip pool 设个 ol 到 siteA 的 gw ip 当成外部 if再到 fw rule 把对应的规则改用那个 gw nat mode 出去跟上面讲的设什么路由都没关系...
作者:
lovespre (Sprewell)
2021-08-10 04:26:00把架构图大概画一下不然用说的有时很难理解题需求的不然就是直接打原厂找tech support
用nat来逃避路由设定也可以,但是就只能单向通讯了双向通讯还是得乖乖的设定路由
作者:
a12321a (鸟梦)
2021-08-13 12:55:00你的比较像l2tp over IPSec 架构 你如果site to site做好了client配置就参考
https://reurl.cc/MAE2r4 从CLI配置第三步骤开始看 不用看路由噢对了 做完就diagnose看看现象有没有出来
对啊,我文里就已经写我是 client 要透过 s2s 跨防火墙我就不知道一堆人看都不仔细看就一直在讲些啥...上面那篇文我找时间看一下,谢谢..
作者:
a12321a (鸟梦)
2021-08-13 13:03:00没事啦 大家比较热心 有人回应是好事
那个 l2tp 我也已经设好了,之前的问题其实是,client 进 a 后,没办法直接穿过 ab 间的 tunnel 到 b后来只好从 ip pool 搞个 ext if gw 当 client 的 nat不过除了 l2tp 需要到 cli 设定 ip 段以外,其他的其实都可以在 gui 设定,为什么看大家还是喜欢 po cli的设定方式?
作者:
a12321a (鸟梦)
2021-08-13 15:07:00我贴给你那篇单纯就是像你说的设定ip pool要用cli 另外使用cli跟gui 取决习惯 刚入行SI练习lab也都是cli为主 如果入行甲方可能会比较喜欢GUI毕竟操作方便为主
作者:
cjoe (TeA)
2021-08-13 20:49:00笑死,我懂这个感觉。我在别的地方发问也是会遇到尬聊的不是PTT
forti旧版本vpn有些设定gui我印象中看不到...
作者: sssxyz (只出没大佳基隆河左岸) 2021-08-14 13:39:00
设定nat解决是另一种路由问题 表示lan中尚有路由不可达…
照你那种说法,你干脆说 还有其他要设定 不是更厉害?如果你自己没用过,哪来自信丢一句 XX 问题,你概念不足我讨厌的这种趋近于讲干话的回应,你有没有理解?我上面是不是有问: 你说路由,那是要设哪个路由?你倒是吱个声啊?后面来句 NAT 也是路由,这不是马后炮?
作者: sssxyz (只出没大佳基隆河左岸) 2021-08-14 14:32:00
你是发问者 其他人提供意见给你 有没有帮助到你自己决定但跟你对话我也自认并未失礼 其他人我不知道但若是因为其他人然后转嫁你的情绪 那其实真的大可不必自己的状况自己最清楚 对其他人都是黑箱 只能用猜的要手把手协助你处理到好 这不尽现实 其他人也没有绝对义务如果和其他人的这样一个互动 你会觉得是干话那我不知道往后你的发问 还有谁想要跟你做互动你有没有理解?
题外话,楼上前面也嘘过人,要不要换个立场想想?人家也是来问个问题,推文在讨论而已回到问题上,你必须在siteA把l2tp client的IPNAT出去这代表site B不认得l2tp client的IP,因为没有路由这样你懂要把路由加在那里了吧?最好是client vpn就不用做双向啦,traffic过去不用回来?
作者:
goodga ( )
2021-08-16 11:49:00我看原po蛮常问Forti问题 好奇是没原厂/厂商可以support吗?
别的不提,就问,走 nat 去不能双向,有路由去才能回来.这是什么意思.我发的问闻如果有解决,答案都有在推文里,这篇也一样.你扯那么多有的没的还说我"嘘过人",嘘过人是不行吗?但这也不重要,仿上你可以截图/或像我一样只要文字说明证明你有设过 L2TP/IPSec client 而且有设双向可回去.看要怎样我们后面再慢慢来!
别人回你的都可以不信,你来是想解决问题还是想吵架?现在问问题的是你,我建议你先把设定档跟架构图附上来不是在这边要求别人满足你,还要证明可以满足要不要写个POC报告给你?
作者: sssxyz (只出没大佳基隆河左岸) 2021-08-16 17:49:00
网友=厂商? 先证明会后面再慢慢来...你在面试?
现在你知道为什么这种可以找厂商的是他要来这边了(笑
作者: sssxyz (只出没大佳基隆河左岸) 2021-08-16 17:50:00
看来是没有理解啊
作者: fonzae (fonzae) 2021-08-16 21:03:00
其实啊! 精灵引导接口帮你省略了很多东西呢!要不,你不靠精灵,一步一步设定,看看会不会碰到路由?
作者:
lovespre (Sprewell)
2021-08-17 02:39:00forti用GUI好像一定要靠精灵才能建IPsec 用指令我没试过印象用精灵时可以增加多个submask 完成后路由一起建立但图没给用文字的看不出你想问的问题到底卡在哪
作者:
lovespre (Sprewell)
2021-08-17 02:52:00两边路由通了再从policy限制你要通过的12IP
是啊,自己上来问问题,别人热心回的点都不相信自己瞎摸摸碰巧解决了,就一副我最屌你们都不懂的样子既然这么行,要不要解释一下为什么你的方法解掉了?
作者:
bogege (bogege)
2021-08-24 02:17:00甲方的味道
作者: doublehow (DBhow) 2021-09-05 22:22:00
你上来问问题的不用这么凶啦