带客户端 VPN 的 FortiGate 站点到站点 VPN

网络工程 虚拟专用网 加强
2022-03-07 07:18:36

我有一点问题。我有 2 个站点。HQ 和 Branch 都通过站点到站点 VPN (IPsec) 连接。

总部:192.168.10.x/24 分公司:192.168.25.x/24

如果我在总部大楼和192.168.10.x/24网络中,我可以192.168.25.x/24毫无问题地访问网络。

如果我在家并通过 FortiGate VPN IPsec 客户端连接到总部,我可以访问192.168.10.x/24网络,但我无法访问192.168.25.x/24网络。

到目前为止我尝试过的:

  1. 防火墙策略允许从 clientvpn 网络 ( 10.10.10.x/24) 到192.168.25.x/24网络的流量,并反向。
  2. 在我的 PC 上添加静态路由,以便 PC 将尝试通过(FortiGate)访问192.168.25.x/24网络。10.10.10.1

Traceroute 将仅显示* * *在到达192.168.25.x/24网络的进程上。

任何的想法?

我已经尝试使用搜索,但我找不到类似的东西。

2个回答

您可以尝试一个简单的解决方案:当通过 FortiClient 连接时,将您的源 IP 地址 NAT 到总部网络的范围。为此,请在从客户端隧道到 HQ_LAN 的策略中启用“NAT”。从此时起,您的客户端将被视为总部网络上的任何主机,包括到分支网络的路由和监管。

作为替代方案,您可以在 HQ-BR 隧道的两侧为 10.10.10.x 网络构建第二阶段 2,将此网络添加到两侧的隧道策略中,并在 Branch 和客户端中添加路由个人电脑。最后一个要求几乎总是证明 NATting 是合理的。

可能有几个问题,首先去掉 VPN 客户端上的静态路由,如果路由不存在,那么问题就出在其他地方。在连接到 VPN 时发布路由表(路由 PRINT)。

我假设您没有为客户端 VPN 使用拆分隧道并通告默认路由,对吗?连接时它应该在路由表中。

然后检查你是否在 HQ-Branch VPN 的第 2 阶段中定义了网络 10.10.10.x/24 以便它直接通信(没有 NAT),它必须在那里。

1.) 对于策略,检查您是否有正确的源和目标接口 - 源应该是 ssl.root(或等效项)和目标分支 IPSec VPN 接口

其它你可能感兴趣的问题
上一篇解决丢包问题 下一篇通过 Ruckus 7363 AP 连接时,设备未从 DHCP 服务器获取 DHCP 地址