推 gogohc: 檢查一下 你花蓮端 Client 設備到 花蓮 GW 通嗎?06/29 00:07
目前花蓮端有一台主控電腦透過Console設定FW與SW,然後用遠端桌面連入操控…這台主控有兩張網卡,一張設定對外的實體IP,一張接HP SW測試是否有取得DHCP IP,但目前處於離線狀態…
推 gogohc: 檢查一下你的 HP 的四個 GW SVI 在嗎06/29 00:11
這是什麼?還請大大說明?
→ anlan: 你的圖..真的看不太懂...確認一下routing有沒有走對吧06/29 00:54
對不起讓大大見笑了~FW的Route都有確認過設定無誤,我再想辦法貼防火牆route設定的圖?
W來。
→ deadwood: 兩個網站的防火牆看一下,兩站對傳的流量NAT要除外06/29 08:25
這是指?我有看過FW的monitor 但看不出個所以然來。
推 lovespre: 防火牆接下去的設備AB是什麼? 主機當router用? 然後再06/29 08:29
→ lovespre: 接swtich?06/29 08:31
→ lovespre: 靠 看懂了....06/29 08:31
設備AB各是兩端的主控電腦,可透過遠端桌面更改FW OR SW設定,因為現階段我還不會設定
fw&sw直接從遠端連入,只好先採用這樣的方式…
A5120
推 asdfghjklasd: 我若是SW廠商我只會測SW以下,若是FW廠商只會測對接06/29 08:35
→ asdfghjklasd: 這是正常的廠商。除非你付給其中一家Config費用了06/29 08:36
→ asdfghjklasd: 以上是指你現在的廠商 06/29 08:36
→ asdfghjklasd: 基本上就是查 FW Routing & SW Routing06/29 08:41
感謝asdf大大的指點,小弟會從這方向去查修
→ asdfghjklasd: 不過就算這次讓你解了,之後TS也是有問題06/29 08:42
這工作對小弟來說幾乎全部都是從頭來過,我很願意學習解決問題,但很多前期網路規劃似
乎一開始就要做好,否則到後面會出現一堆問題,就如大大您所說的那樣…
有談合約內容還要再花時間研究看看…
推 tnshoho: 問一下,中間這段是專線VPN還是Internet做IPSec VPN?06/29 08:59
後者,用Internet做IPSec VPN
※ 編輯: nksp (111.83.210.229), 06/29/2015 09:09:20
→ deadwood: 透過internet做VPN,最容易忽略掉NAT免除這個點 06/29 09:13
→ deadwood: 看你的圖應該防火牆是對外GW,所以你的內網一定全部有 06/29 09:14
→ deadwood: NAT(PAT)才能上網,但是site to site vpn要起來 06/29 09:15
→ deadwood: 兩site之間的流量就不能NAT 06/29 09:18
→ deadwood: 另外還有其他人提到,防火牆上的rouing也要設定正確 06/29 09:20
→ deadwood: FORTI做S2S VPN個人沒做過,你可能要看一下policy是不是 06/29 09:25
→ deadwood: 有把VPN用的policy拿到最上面,因為看起來forti預設有 06/29 09:32
→ deadwood: 把VPN流量不做NAT 06/29 09:32
推 asdfghjklasd: A5120-EI or SI 都是 Lite L3... 06/29 09:38
→ asdfghjklasd: 你的問題應該在整串的Routing 規劃 06/29 09:38
推 gogohc: 個人也是覺得L3 routing去查查看 原PO FQ廠商跟他說兩端VP 06/29 10:06
→ gogohc: N沒問題,從底下到FW怎麼怎的要確認一下通常好一點的FW VP 06/29 10:06
→ gogohc: N建好會自動起一個對應的Policy 06/29 10:06
→ asdfghjklasd: 一般的Site to Site 只會通 LAN IP 06/29 10:27
→ asdfghjklasd: FW LAN IP 06/29 10:27
推 lovespre: 公司都不願意請一個專業的人來管理當然省錢用IPSEC..... 06/29 11:04
→ lovespre: 台北到花蓮租專線應該非常貴喔..... 06/29 11:05
→ lovespre: FORTI的ROUTING應該少加了 06/29 11:06
推 tnshoho: 小弟覺得是fw policy沒設定好,整個routing可能也有問題 06/29 11:54
→ tnshoho: FG的IPSec VPN有三種作法,先確定VPN確定兩邊有通 06/29 11:55
→ tnshoho: 再來偵測後面Routing我覺得應該會比較好(個人經驗) 06/29 11:56
→ tnshoho: 畢竟VPN沒通,啥都不用講了..廠商之前給我VPN手冊 06/29 11:56
→ tnshoho: 做了也沒效果沒通...Orz..還是翻原廠的幾種作法才通 06/29 11:57
→ nksp: 感謝以上大大們熱心的建議,小弟會再去檢查測試,若還是不行 06/29 17:26
→ nksp: 會再附上詳細設定請大大們指教,感謝 06/29 17:26
→ gogohc: 查修不要跳離 OSI Model 不然只會越查越亂 06/29 17:52
推 asdfghjklasd: 我建議以後都不要用Firewall做了啦 06/29 18:33
→ tnshoho: 拉長專解決一切 ~ 06/29 18:50
→ asdfghjklasd: 不一定常專,要做好的VPN有好的設備 06/29 18:54
→ asdfghjklasd: 沒錢一點的可以用MPLS VPN 06/29 18:54
→ infosec: 把core/firewall的config 傳給asdf大大看 應該就解了 06/29 19:05
→ infosec: VPN這東西我還是習慣用ASA/ROUTER來做 06/29 19:06
推 asdfghjklasd: 同意用Router or ASA 做... 06/29 19:26
推 gogohc: 推樓樓XDD 06/29 19:42
→ gogohc: 上 06/29 19:42
噓 a6530466: IPsec 我倒都是用各類的防火牆做,大概是客戶都沒 Route 06/30 00:14
→ a6530466: r 吧,哈。 06/30 00:14
→ a6530466: 手殘按錯,按到噓文 06/30 00:15
→ a6530466: 等會補一個推文回來,抱歉了。 06/30 00:16
推 a6530466: 補推一下 06/30 01:09
推 sssxyz: 你的hp應該default路由都往FW指吧? 06/30 06:47
→ sssxyz: 可以使用較新版本的Fortios 有VPN引導精靈這個功能 06/30 06:48
→ sssxyz: 再來是建議你用route based的IPsec VPN路由指向虛擬介面 06/30 06:49
→ sssxyz: 讓policy單純是做ACL的控管 專注在路由建立跟VPN tunnel 06/30 06:50
推 sssxyz: 先看看你IPsec VPN tunnel的狀態是否正常跟log吧 06/30 06:53