有老哥比较熟悉 fortinet 防火墙吗?

2023-09-01 14:15:35 +08:00
 helloly

上海和合肥办公室用两台防火墙组了 ipsec , 其中上海内部有一个 openwrt 和国外的一台虚机组了 wireguard.

现在情况: 1 )上海内部在防火墙的策略路由下,特定域名可以走 openwrt 至国外出去访问 2 )上海和合肥办公室 ipsec 隧道正常, 局域网互通,合肥客户端和 openwrt 可以互 ping 。 3 )如果合肥防火墙做策略路由,特定域名没办法通过 ipsec 走上海的 openwrt 。

看过一个官方文章提到 “Technical Tip: Configure policy routes for route-based (interface-based) IPsec VPNs Description This article describes how to configure a policy route that only certain traffic will traverse through a route-based IPsec VPN tunnel.

Solution Although a static route with a destination interface of a VPN tunnel does not require a gateway IP address, a policy route does. The solution is to configure an 'IP' and 'Remote IP' on the virtual tunnel interface, and use the 'Remote IP as the gateway IP address in the policy routes.”

于是,我在上海和合肥两端的 ipsec 接口中的寻址模式,添加 ip 和远程 ip 。两边客户端与这两个 ip 互 ping 没有问题。

但是,合肥的策略路由还是不起作用, 目标地址,数据包到不了上海。

473 次点击
所在节点    问与答
1 条回复
zbinlin
2023-09-01 19:41:09 +08:00
在上海的 ipsec tun 上没有抓包从合肥路由过来的包吗?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/970087

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX