兩台USG310無法設定Policy Route

蘇介吾
蘇介吾 Posts: 28  Freshman Member
First Anniversary First Comment
edited April 2021 in Security






Dear ZyXEL技術部,您好:

網路架構如附件,我打0800跟貴公司技術支援客服請教,終於設定好 VTI,但是文件上只教用『靜態路由』,但是網路上搜尋都說要設定『策略路由』!我擔心 HQ 的其中一路斷線後VPN不會自動切換,請教該如何設定?

Comments

  • Zyxel_Charlie
    Zyxel_Charlie Posts: 1,034  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    @ 蘇介吾
    以這個情境來說,HQ Site如果ge1和ge2_ppp2的VTI已設定完成,需要創建附載平衡策略和策略路由以讓VPN可自動切換。

    來源和目的地位址對應到是HQ site lan端和Branch site的lan端

  • 蘇介吾
    蘇介吾 Posts: 28  Freshman Member
    First Anniversary First Comment
    請教一下,哪兩邊的靜態路由就要取消了,對嗎?
  • Zyxel_Charlie
    Zyxel_Charlie Posts: 1,034  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    @蘇介吾
    對的,在Branch要加一條策略路由。
    來源: local端的IP,目的: remote端的local IP, 下個躍點:interface, 選你創建的VTI profile
  • 蘇介吾
    蘇介吾 Posts: 28  Freshman Member
    First Anniversary First Comment
    edited June 2020
    救命啊!設定完之後,VPN能互通 (只能互相 ping 對方 USG310內網 ip),但是要 ping 到對方內網其他電腦都不行!而且設定靜態路由還會出錯!今天(109/05/28)下午可以幫忙連線看一下嗎?謝謝。











  • 蘇介吾
    蘇介吾 Posts: 28  Freshman Member
    First Anniversary First Comment
    Dear Charlie,

    問題找到了... 原來是不小心把SNAT打開所致。

    但是出現另一個問題,本來用單一條VPN或是VTI+靜態路由都可以 ping 到對面的 USG310,但是改成策略路由之後就 ping 不到、也連不上了,可以幫忙想看看問題出在哪裡嗎?

    ps.打去你們公司,居然說沒有 Charlie 這個人?! 真奇怪。


  • Zyxel_Charlie
    Zyxel_Charlie Posts: 1,034  Zyxel Employee
    First Anniversary Friend Collector First Answer First Comment
    @蘇介吾
    你這邊HQ和Branch都要各加一筆策略路由
    Incoming: Zywall, 目的地: 另一端的local subnet,Next Hop: VTI interface

  • 蘇介吾
    蘇介吾 Posts: 28  Freshman Member
    First Anniversary First Comment
    收到,明天早上試試 ^_^
  • 蘇介吾
    蘇介吾 Posts: 28  Freshman Member
    First Anniversary First Comment
    可以了,Thx!


Security Highlight