「快速設定Fortigate Site to Site IPEC VPN」的迴響 http://www.askasu.idv.tw/index.php/2009/05/17/493/?utm_source=rss&utm_medium=rss&utm_campaign=%25e5%25bf%25ab%25e9%2580%259f%25e8%25a8%25ad%25e5%25ae%259afortigate-site-to-site-ipec-vpn 資訊無涯,回頭已不見岸! Sat, 04 Feb 2012 10:16:40 +0000 hourly 1 http://wordpress.org/?v=3.1.4 由:David http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-713 David Sat, 04 Feb 2012 10:16:40 +0000 http://www.askasu.idv.tw/?p=493#comment-713 請問蘇老,您這篇site to site 的環境是用L3的架構下做出來的,目前我有嘗試使用L2的架構下 (就是192.168.1.x/24 ~ 192.168.1.x/24)做設定,但是現在卡在二台fortigate己通,但是電 腦互ping就是不通,感覺封包就像從a端的fortigate出來後,到b端的fortigate處就不會再往後 送到b端後面的電腦,這樣有可能會是什麼樣的情形呢? 可否撥空解答一下,謝謝 請問蘇老,您這篇site to site 的環境是用L3的架構下做出來的,目前我有嘗試使用L2的架構下
(就是192.168.1.x/24 ~ 192.168.1.x/24)做設定,但是現在卡在二台fortigate己通,但是電
腦互ping就是不通,感覺封包就像從a端的fortigate出來後,到b端的fortigate處就不會再往後
送到b端後面的電腦,這樣有可能會是什麼樣的情形呢? 可否撥空解答一下,謝謝

]]> 由:Blog Server http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-395 Blog Server Wed, 26 Oct 2011 18:19:12 +0000 http://www.askasu.idv.tw/?p=493#comment-395 <strong>Blog Server...</strong> [...]快速設定Fortigate Site to Site IPEC VPN | 蘇老碎碎唸[...]... Blog Server...

[...]快速設定Fortigate Site to Site IPEC VPN | 蘇老碎碎唸[...]...

]]> 由:AskaSu http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-325 AskaSu Wed, 27 Apr 2011 13:13:44 +0000 http://www.askasu.idv.tw/?p=493#comment-325 Hi, chisulove 你提到是否要手動寫入 Static route 這部份其實我並沒有做, 而且我也忘記去注意那邊的路由的狀態, 目前手邊也沒有上述環境能再幫忙確認了, 不好意思。 另外,關於 DNS 解析的部份, 如果兩地都有自己的 DNS, 因為已經建立了 Site to Site VPN, 我可能會在 192.168.1.0/24 那邊的 DNS 設定轉寄站到另一邊的 DNS, 不過比較正確的方式,還是要看整個網路架構及 DNS 網域設定。 Hi, chisulove

你提到是否要手動寫入 Static route 這部份其實我並沒有做,
而且我也忘記去注意那邊的路由的狀態,
目前手邊也沒有上述環境能再幫忙確認了,
不好意思。

另外,關於 DNS 解析的部份,
如果兩地都有自己的 DNS,
因為已經建立了 Site to Site VPN,
我可能會在 192.168.1.0/24 那邊的 DNS 設定轉寄站到另一邊的 DNS,
不過比較正確的方式,還是要看整個網路架構及 DNS 網域設定。

]]> 由:chisulove http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-318 chisulove Mon, 18 Apr 2011 16:11:40 +0000 http://www.askasu.idv.tw/?p=493#comment-318 因為我做site to site IPSEC VPN 是想由 192.168.1.0/24用VPN連回192.168.123.0/24總公司,來執行 ERP軟體( 在IE上使用), 如果192.168.1.0/24上的電腦能ping到192.168.123.0/24上電腦但是卻不能夠作DNS正反解,ERP軟體似乎畫面上會有異常. 因為我做site to site IPSEC VPN 是想由 192.168.1.0/24用VPN連回192.168.123.0/24總公司,來執行 ERP軟體( 在IE上使用), 如果192.168.1.0/24上的電腦能ping到192.168.123.0/24上電腦但是卻不能夠作DNS正反解,ERP軟體似乎畫面上會有異常.

]]> 由:chisulove http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-316 chisulove Sun, 17 Apr 2011 12:29:17 +0000 http://www.askasu.idv.tw/?p=493#comment-316 原來是考慮之後會不會切到不同的 Interface 上,謝謝提醒!! 另外請教蘇老,有沒有必要在 static route上將192.168.1.0/24 設到 static route ? 還有如果192.168.123.0/24 那邊有 windows2003 R2 AD server/ dc controller/WINS/DNS 與 DHCP server 同一台(譬如說 192.168.123.108, 第二台 DNS/WINS:192.168.123.107 ), 而192.168.1.0/24 的 DHCP 由 fortigate 60B 上 dhcp sevver 配發,請問60B上的 DNS及 WINS 設定要如何設定? 原來是考慮之後會不會切到不同的 Interface 上,謝謝提醒!!
另外請教蘇老,有沒有必要在 static route上將192.168.1.0/24 設到 static route ?
還有如果192.168.123.0/24 那邊有
windows2003 R2 AD server/ dc controller/WINS/DNS 與 DHCP server 同一台(譬如說 192.168.123.108, 第二台 DNS/WINS:192.168.123.107 ),
而192.168.1.0/24 的 DHCP 由 fortigate 60B 上 dhcp sevver 配發,請問60B上的 DNS及 WINS 設定要如何設定?

]]> 由:AskaSu http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-315 AskaSu Sun, 17 Apr 2011 01:19:22 +0000 http://www.askasu.idv.tw/?p=493#comment-315 Hi, chiuslove 我沒有指定 Interface 的關係, 其實在於無法預知所設定的 Address 之後會不會切到不同的 Interface 上, 為避免自已未來可能要多除錯一個地方, 所以就直接開 Any 了。 :) Hi, chiuslove

我沒有指定 Interface 的關係,
其實在於無法預知所設定的 Address 之後會不會切到不同的 Interface 上,
為避免自已未來可能要多除錯一個地方,
所以就直接開 Any 了。 :)

]]> 由:chiuslove http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-314 chiuslove Sat, 16 Apr 2011 05:57:11 +0000 http://www.askasu.idv.tw/?p=493#comment-314 請問上面 到Firewall -> Address 新增兩組IP 網段 Z1_local 192.168.123.0/24 Z2_local 192.168.1.0/24 其 兩者 Interface 都選擇 any 但是policy 設定時 Z1_local 是選擇 internal ,Z2_local 是選擇 wan1, 那為甚麼不要在 firewall-> Address 將 Z1_local 的interface設為 Internal , 將Z2_local 的interface設為 wan1 呢 ? 請問上面 到Firewall -> Address 新增兩組IP 網段
Z1_local 192.168.123.0/24
Z2_local 192.168.1.0/24
其 兩者 Interface 都選擇 any

但是policy 設定時 Z1_local 是選擇 internal ,Z2_local 是選擇 wan1,

那為甚麼不要在 firewall-> Address
將 Z1_local 的interface設為 Internal ,
將Z2_local 的interface設為 wan1 呢 ?

]]> 由:Streit http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-244 Streit Thu, 19 Aug 2010 11:05:48 +0000 http://www.askasu.idv.tw/?p=493#comment-244 To 11樓pan: 如果你在Tunnel那個頁面有把 Enable IPsec Interface Mode 勾起來的話,你在policy的頁面就會看不到你所設定的Tunnel。 To 11樓pan:
如果你在Tunnel那個頁面有把 Enable IPsec Interface Mode 勾起來的話,你在policy的頁面就會看不到你所設定的Tunnel。

]]> 由:AskaSu http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-240 AskaSu Sun, 15 Aug 2010 12:23:37 +0000 http://www.askasu.idv.tw/?p=493#comment-240 To Pan 不好意思,我沒有摸過FG400 的機型, 這方面的狀況沒辦法協助您確認, 可能只能建議試著更新軔體看有無改善, 目前FG400 釋出可用的最新版軔體是v3.0 MR7 Patch9。 To Pan

不好意思,我沒有摸過FG400 的機型,
這方面的狀況沒辦法協助您確認,
可能只能建議試著更新軔體看有無改善,
目前FG400 釋出可用的最新版軔體是v3.0 MR7 Patch9。

]]> 由:pan http://www.askasu.idv.tw/index.php/2009/05/17/493/comment-page-1/#comment-239 pan Sat, 14 Aug 2010 14:28:17 +0000 http://www.askasu.idv.tw/?p=493#comment-239 你好,請問我是使用forigate 400 ,依你的教學今天測試一整天,不管怎麼設定都卡在 policy 設定的地方,在active 我選擇ipsec 後,會出現tunnel 的選項,但沒有顯示出我之前在vpn-ipsec 分頁所設定的tunnel ,不知道是我操作錯誤,還是軔體bug , 需要用command line 才能夠設定。 簡單的說,ipsec policy-base 這個在policy active 都無法選擇tunnel 。 但 ipsec route-base 是可以正常work 的。 你好,請問我是使用forigate 400 ,依你的教學今天測試一整天,不管怎麼設定都卡在

policy 設定的地方,在active 我選擇ipsec 後,會出現tunnel 的選項,但沒有顯示出我之前在vpn-ipsec 分頁所設定的tunnel ,不知道是我操作錯誤,還是軔體bug , 需要用command line 才能夠設定。

簡單的說,ipsec policy-base 這個在policy active 都無法選擇tunnel 。

但 ipsec route-base 是可以正常work 的。

]]>