我们正在使用 2 个 Fortinet Fortigate 防火墙。我们之前在两个站点之间有一个正常运行的 ipsec vpn,但仅限于 LAN 到 LAN。即站点 A LAN 到站点 B LAN,反之亦然。我们曾尝试修改 IPsec 隧道以承载 WAN 绑定流量,但它似乎仍然直接穿过站点 A WAN。
我们的配置:
12.34.56.0/24 是站点 B 的 IP 块
地点 A(分支机构):
阶段2: 本地:172.20.10.0/24 远程:0.0.0.0/0.0.0.0
政策:
- 内部 --> siteB,源全部,目标,全部
- SiteB --> 内部,源全部,目标,全部
站点 B(数据中心)
阶段2: 本地:0.0.0.0/0.0.0.0 远程:172.20.10.0/24
政策:
- 内部 --> siteA,源全部,目标,全部
- SiteA --> WAN,源全部,目标,全部,NAT 动态 IP 池 12.34.56.1
除了图中所示的出站流量之外,我们还希望将来自同一个 IP 或多个 IP 的入站流量定向回站点 A。例如,如果站点 A 托管一个网页并且有人访问 12.34.56.1,它将被定向到站点 A 服务器。
答案1
使用 traceroute 或 mtr 找出数据包偏离预期路径的位置。然后转到将数据包发送错误方向的路由器并检查其路由表。然后修复(或创建)应该将流量发送到隧道的路由表条目。