fortigate 7.2.8os
做sd-wan成功
sd-wan 成员拨号上网wan口 +ipsecvpn隧道
sd-wan规则1:测试拨号上网通
sd-wan规则2:测试到对端内部网络服务器ipsecvpn隧道通
但是本地ping不通对端内部的服务器
fortigate sd-wan ipsec配置
- 写回答
- 好问题 0 提建议
- 追加酬金
- 关注问题
- 邀请回答
-
5条回答 默认 最新
关注 引自免费微信小程序:皆我百晓生
看起来您在FortiGate设备上设置SD-WAN并配置了IPSec VPN,但遇到了从本地网络无法ping通对端内部服务器的问题。这里有一些建议可以帮助您解决这个问题:
-
检查IPSec隧道状态: 确保IPSec隧道已经建立且处于活动状态。可以在FortiGate的"Status > IPSec tunnels"部分检查。
-
验证路由: 确认您的SD-WAN配置是否正确地为对端内部网络分配了路由。在FortiGate的"Policy & Objects > Routes"中查看是否有到对端网络的静态路由,并确保其下一跳是正确的SD-WAN接口。
-
检查安全策略(Security Policies): 确保您的安全策略允许从本地网络到对端服务器的数据包通过。在"Policy & Objects > Security policies"中查找相关的入站和出站规则,确保它们没有阻止ping或者其他必要的流量。
-
配置NAT穿越(NAT Traversal, NTP): 由于可能涉及到NAT环境,确保IPSec配置中启用了NTP。在"Network > IPsec Settings"中,启用"NAT Traversal (NTP)"选项。
-
确认IKE和ESP安全协议: 在"Network > IPsec Settings"中,检查IKE阶段1和阶段2使用的安全协议(例如IKEv1/IKEv2、DES/AES等),确保这些协议在两端都兼容并且支持。
-
检查防火墙规则(Firewall Rules): 即使有安全策略,防火墙规则也可能阻止ping请求。在"Policy & Objects > Firewall policies"中检查是否有阻止ICMP(ping)的规则。
-
验证DNS解析: 确保本地网络可以正确解析对端服务器的名称。如果使用的是名称而不是IP地址,需要检查DNS服务器配置和解析是否正常。
-
检查对端网络配置: 确认对端网络没有阻止来自您的本地网络的ping请求。这可能涉及他们的防火墙规则或者安全组设置。
-
使用诊断工具: 在FortiGate中使用"Diagnose > Ping"工具尝试从本地网络向对端服务器发送ping,观察是否收到响应。如果失败,分析返回的信息以找到问题所在。
-
检查日志: 在"Logs & Reports"中查看相关日志,特别是关于IPSec、安全策略和防火墙的部分,以获取更多关于潜在问题的线索。
以上步骤应该能帮您定位问题所在。如果您仍然遇到困难,建议提供更详细的配置信息和错误日志,以便更好地协助您。
解决 无用评论 打赏 举报 编辑记录-
悬赏问题
- ¥50 使用MS Log Parser查询使用Bitvise SSH Server登录的IP
- ¥20 校园二手交易小程序搭建
- ¥15 请问在ubuntu用conda创建环境报错怎么能解决
- ¥15 STM32CubeMX/proteus按键控制指示灯颜色切换
- ¥20 python,计算区位熵和扩张指数
- ¥15 Python环境配置
- ¥15 大四学生的困惑,有偿提问!
- ¥15 解决页面无法编入索引:被“noindex”标签排除的问题?
- ¥15 arduino测量电阻
- ¥15 快手uid转快手号谁能解决 需要开发