推 sssxyz: split tunnel? maybe 放路由給 client 08/04 23:51
→ JerryBoy: 先確定client的路由正確,往你要的地方去 08/05 01:33
→ JerryBoy: 再來談規則是否有放行 08/05 01:33
→ freeunixer: 建 site to site 的時候,靜態路由就已經指好了啊.. 08/05 01:56
推 lovespre: IPsec tunnle 都是用精靈建立的,建完只要能起來就通了 08/05 01:58
→ lovespre: 像4樓說的 static route不用特別去設定 08/05 01:58
→ lovespre: 你再去policy去新增規則就好 08/05 01:59
→ freeunixer: 我現在就是在問我還需要設什麼規則... 08/05 02:29
推 lovespre: 預設就是all to all 阿,要限制service 還是IP看你環境 08/05 03:02
→ lovespre: 要怎麼規範 08/05 03:03
推 lovespre: forti UI已經很直覺採用port/zone to port/zone 的觀念 08/05 03:06
→ lovespre: 如果連IP要怎麼加到規則中都不是很清楚的話建議找廠商 08/05 03:07
→ fonzae: 路由要設,如果另一端有多個網段,你還是得自行加 08/05 06:15
→ fonzae: 然後IP請用物件先建好在指定 08/05 06:16
推 sssxyz: split tunnel下client的路由是需要額外設定的 08/05 08:18
→ sssxyz: 可以先packet filter看看client的包有沒有上來 08/05 08:20
→ freeunixer: 我是用 l2tp,沒有開啟 split tunnel... 08/05 13:21
→ asdfghjklasd: 就路由問題.. fonzae 正姐 08/05 14:54
→ asdfghjklasd: 這種方式我弄過很多次都嘛沒問題 08/05 14:55
→ asdfghjklasd: 而且我還是連地端上雲端 08/05 14:55
→ freeunixer: 設 policy route ? 08/05 16:28
→ ddoll288: 不會設定route請重修網路學分 08/06 00:58
→ ddoll288: 小台fg只有static route可以設,大台才有RIP OSPF 可以設 08/06 00:59
→ ddoll288: 這是超基礎的Layer3設定啊 08/06 01:00
→ freeunixer: 如果你自己沒用過的話,何必硬要來參一腳呢? 08/06 01:18
→ freeunixer: 有什麼路由模式可以用我會不知道? 08/06 01:19
→ freeunixer: 我不過就想確定上面只留路由兩個字的,是不是指政策... 08/06 01:22
→ ddoll288: 正常情況 路由 跟 政策 都要設定,路由 管 封包路線 08/06 02:56
→ ddoll288: 政策 管 封包能不能通過. 08/06 02:58
→ ddoll288: Routing Policy就是更精準的static route 08/06 03:02
→ ddoll288: 樓上J大已經講得很清楚了,請多複習網路基礎 08/06 03:09
→ ddoll288: 順便講一下,中文看不懂,可以看英文,fg的文件寫得很好 08/06 03:24
→ ddoll288: 要不然為什麼 policy route 是放在 network 設定, 08/06 03:30
→ ddoll288: 不是放在 Policy & Objects? 08/06 03:31
推 lovespre: 你想省錢可以直接找原廠support 只要你的license有效 08/09 22:25
→ lovespre: 但都是英文support 08/09 22:25
推 littlecut: 小台的是多小台@@?60系列有吧,Advanced Routing沒有 08/09 23:16
→ littlecut: 開而已吧 08/09 23:16
→ littlecut: 我指動態路由 08/09 23:17
推 littlecut: 另外建議原PO,可以的話,架構圖大概畫一下XD,有時候 08/09 23:33
→ littlecut: 文字敘述配上圖比較好找問題 08/09 23:33
→ freeunixer: 到 ip pool 設個 ol 到 siteA 的 gw ip 當成外部 if 08/09 23:38
→ freeunixer: 再到 fw rule 把對應的規則改用那個 gw nat mode 出去 08/09 23:40
→ freeunixer: 跟上面講的設什麼路由都沒關係... 08/09 23:50
推 lovespre: 把架構圖大概畫一下不然用說的有時很難理解題需求的 08/10 04:26
→ lovespre: 不然就是直接打原廠找tech support 08/10 04:27
→ ddoll288: 用nat來逃避路由設定也可以,但是就只能單向通訊了 08/13 08:26
→ ddoll288: 雙向通訊還是得乖乖的設定路由 08/13 08:26
→ freeunixer: vpn client 撥入有人在做雙向? 08/13 12:45
推 a12321a: 你的比較像l2tp over IPSec 架構 你如果site to site做好 08/13 12:55
→ a12321a: 三步驟開始看 不用看路由 08/13 12:55
→ a12321a: 噢對了 做完就diagnose看看現象有沒有出來 08/13 12:57
→ freeunixer: 對啊,我文裡就已經寫我是 client 要透過 s2s 跨防火牆 08/13 12:57
→ freeunixer: 我就不知道一堆人看都不仔細看就一直在講些啥... 08/13 12:58
→ freeunixer: 上面那篇文我找時間看一下,謝謝.. 08/13 12:58
推 a12321a: 沒事啦 大家比較熱心 有人回應是好事 08/13 13:03
→ freeunixer: 那個 l2tp 我也已經設好了,之前的問題其實是, 08/13 13:56
→ freeunixer: client 進 a 後,沒辦法直接穿過 ab 間的 tunnel 到 b 08/13 13:57
→ freeunixer: 後來只好從 ip pool 搞個 ext if gw 當 client 的 nat 08/13 13:59
→ freeunixer: 不過除了 l2tp 需要到 cli 設定 ip 段以外,其他的 08/13 14:13
→ freeunixer: 其實都可以在 gui 設定,為什麼看大家還是喜歡 po cli 08/13 14:14
→ freeunixer: 的設定方式? 08/13 14:14
推 a12321a: 我貼給你那篇單純就是像你說的設定ip pool要用cli 另外使 08/13 15:07
→ a12321a: 用cli跟gui 取決習慣 剛入行SI練習lab也都是cli為主 如果 08/13 15:07
→ a12321a: 入行甲方可能會比較喜歡GUI畢竟操作方便為主 08/13 15:07
推 cjoe: 笑死,我懂這個感覺。我在別的地方發問也是會遇到尬聊的 08/13 20:49
→ cjoe: 不是PTT 08/13 20:49
推 Wishmaster: forti舊版本vpn有些設定gui我印象中看不到... 08/14 07:21
推 sssxyz: 設定nat解決是另一種路由問題 表示lan中尚有路由不可達… 08/14 13:39
→ freeunixer: 照你那種說法,你乾脆說 還有其他要設定 不是更厲害? 08/14 14:11
→ freeunixer: 如果你自己沒用過,哪來自信丟一句 XX 問題,你概念不足 08/14 14:13
→ freeunixer: 我討厭的這種趨近於講幹話的回應,你有沒有理解? 08/14 14:13
→ freeunixer: 我上面是不是有問: 你說路由,那是要設哪個路由? 08/14 14:15
→ freeunixer: 你倒是吱個聲啊? 08/14 14:15
→ freeunixer: 後面來句 NAT 也是路由,這不是馬後炮? 08/14 14:22
推 sssxyz: 你是發問者 其他人提供意見給你 有沒有幫助到你自己決定 08/14 14:32
→ sssxyz: 但跟你對話我也自認並未失禮 其他人我不知道 08/14 14:33
→ sssxyz: 但若是因為其他人然後轉嫁你的情緒 那其實真的大可不必 08/14 14:34
推 sssxyz: 自己的狀況自己最清楚 對其他人都是黑箱 只能用猜的 08/14 14:41
→ sssxyz: 要手把手協助你處理到好 這不盡現實 其他人也沒有絕對義務 08/14 14:42
→ sssxyz: 如果和其他人的這樣一個互動 你會覺得是幹話 08/14 14:43
→ sssxyz: 那我不知道往後你的發問 還有誰想要跟你做互動 08/14 14:44
→ sssxyz: 你有沒有理解? 08/14 14:45
→ freeunixer: 這種的的確是不必. 08/14 15:15
→ freeunixer: 可能越回越讓人上火而已. 08/14 15:16
→ deadwood: 題外話,樓上前面也噓過人,要不要換個立場想想? 08/16 10:30
→ deadwood: 人家也是來問個問題,推文在討論而已 08/16 10:30
→ deadwood: 回到問題上,你必須在siteA把l2tp client的IPNAT出去 08/16 10:52
→ deadwood: 這代表site B不認得l2tp client的IP,因為沒有路由 08/16 10:53
→ deadwood: 這樣你懂要把路由加在那裡了吧? 08/16 10:54
→ deadwood: 最好是client vpn就不用做雙向啦,traffic過去不用回來? 08/16 10:55
推 goodga: 我看原po蠻常問Forti問題 好奇是沒原廠/廠商可以support 08/16 11:49
→ goodga: 嗎? 08/16 11:49
→ freeunixer: 別的不提,就問,走 nat 去不能雙向,有路由去才能回來. 08/16 14:52
→ freeunixer: 這是什麼意思. 08/16 14:52
→ freeunixer: 我發的問聞如果有解決,答案都有在推文裡,這篇也一樣. 08/16 15:14
→ freeunixer: 你扯那麼多有的沒的還說我"噓過人",噓過人是不行嗎? 08/16 15:15
→ freeunixer: 但這也不重要,仿上你可以截圖/或像我一樣只要文字說明 08/16 15:17
→ freeunixer: 證明你有設過 L2TP/IPSec client 而且有設雙向可回去. 08/16 15:17
→ freeunixer: 看要怎樣我們後面再慢慢來! 08/16 15:18
→ deadwood: 別人回你的都可以不信,你來是想解決問題還是想吵架? 08/16 15:59
→ deadwood: 現在問問題的是你,我建議你先把設定檔跟架構圖附上來 08/16 15:59
→ deadwood: 不是在這邊要求別人滿足你,還要證明可以滿足 08/16 16:00
→ deadwood: 要不要寫個POC報告給你? 08/16 16:00
推 sssxyz: 網友=廠商? 先證明會後面再慢慢來...你在面試? 08/16 17:49
→ deadwood: 現在你知道為什麼這種可以找廠商的是他要來這邊了(笑 08/16 17:50
→ sssxyz: 看來是沒有理解啊 08/16 17:50
→ fonzae: 其實啊! 精靈引導介面幫你省略了很多東西呢! 08/16 21:03
→ fonzae: 要不,你不靠精靈,一步一步設定,看看會不會碰到路由? 08/16 21:03
推 lovespre: forti用GUI好像一定要靠精靈才能建IPsec 用指令我沒試過 08/17 02:39
→ lovespre: 印象用精靈時可以增加多個submask 完成後路由一起建立 08/17 02:41
→ lovespre: 但圖沒給用文字的看不出你想問的問題到底卡在哪 08/17 02:42
→ freeunixer: 我問題解決了啊,只是有人一直在扯個沒完... 08/17 02:52
推 lovespre: 兩邊路由通了再從policy限制你要通過的12IP 08/17 02:52
→ deadwood: 是啊,自己上來問問題,別人熱心回的點都不相信 08/17 09:20
→ deadwood: 自己瞎摸摸碰巧解決了,就一副我最屌你們都不懂的樣子 08/17 09:21
→ deadwood: 既然這麼行,要不要解釋一下為什麼你的方法解掉了? 08/17 09:23
推 bogege: 甲方的味道 08/24 02:17
→ doublehow: 你上來問問題的不用這麼兇啦 09/05 22:22