有關Flex 200防火牆無法ping子網段介面IP

選項
Benson_Tsai
Benson_Tsai 文章數: 9 image  Freshman Member
First Comment
防火牆系列

目前公司的網段規劃共五個段網OA網段:192.168.1.x

VPN Pool:192.168.6.x

測試主機網段:

ESXi管理網段:192.168.128.x

ESXi VM主機:10.203.1.x

ESXi VM備份:192.168.32.x

以下畫面是Flex 200防火牆的設定

連接埠角色設定畫面

P4、P5、P6設定橋接模式

P7 設定VLAN Zone子介面

image.png

wan1為中華電信固定IP。

image-a93bb311fde628-823c.png

切三個子網段

image-25224ee031c768-04e7.png image-76fd66d7b5623-23c7.png

橋接的設定

指定的P4、P5、P6三個埠為LAN1為br1做橋接。

image-c38ab15e457828-dead.png image-6bc0d399d858f-0768.png image-880f2ab0a185e-2f23.png

L2TP VPN設定 目前可正常連線,但只能ping得到VPN自己的網段及192.168.1.x,無法ping到VLAN 4的IP。

image-11436e84947d38-c11c.png

image-ef909e18c72f-bc99.png

防火牆政策設定

目前有加入從OA至VLAN4網段及VPN至VLAN4網段。

image-647026bfdaf07-8783.png image-a7d0e57e23b35-9c4d.png

image-2bac0d6efd1a6-336d.png

Switch已經切了VLAN2、VLAN3、VLAN4及一個Trunk埠,並從Trunk埠連接至Flex 200的P7埠(reserved)。

請問還有哪裡需要設定呢?

Accepted Solution

All Replies

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 494 image  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好, 從上文判斷建議先暫停 security policy 的第一, 二條規則

    畢竟你已經有預設的 security policy

    LAN1 to Any 與 IPsecVPN to Any 了

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • Zyxel小編 Koda
    Zyxel小編 Koda 文章數: 165 image  Zyxel Employee
    5 Answers First Comment Friend Collector Third Anniversary
    已編輯 May 23 日

    您好,您在暫停 security policy 的第一, 二條規則後,由於您的VPN ZONE是新創的,

    您必須設定允許VPN ZONE 到LAN1 或IPSEC-VPN的規則,不然會被預設規則給阻擋。

    如果還是不行,請聯繫/私訓我們遠端協助您 。

  • Benson_Tsai
    Benson_Tsai 文章數: 9 image  Freshman Member
    First Comment

    有抓到問題了,必須在Server端加入路由才能通。
    因為Server的Default Gateway已經設了192.168.128.254了
    只能增加路由的方式。

    我增加了這個

    route add 192.168.1.0 mask 255.255.255.0 192.168.32.254

    我可以從192.168.1.0的網段ping到192.168.32.71的Server

    但是透過VPN連進來就無法ping到了。

    VPN使用者必須也要增加路由才能ping到192.168.32.71的Server

    後來我刪除原來的路由,增加了另一個路由

    route add 0.0.0.0 mask 0.0.0.0 192.168.32.254

    這樣透過L2TP VPN連線就可以ping到192.168.32.71的Server了。

    想請問一下,這台Flex 200有辦法做VPN的route push嗎?

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 494 image  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula
    已編輯 May 23 日

    你好,

    原來是 server 端的 route 影響了,

    另外, 詢問的 route push 目前為止我們家的 vpn 設定檔沒有提供這樣的預設定

    謝謝

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • Benson_Tsai
    Benson_Tsai 文章數: 9 image  Freshman Member
    First Comment

    請問本來VPN設定好了,也可以連線了,預設的policy應該就可以讓VPN使用者連外網,但是昨天重啟防火牆後,就發現VPN連線者無法連外網了,需要檢查或設定什麼地方嗎?

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 494 image  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    可以 monitor > log > view log

    點開 show filter 之後, 用keyword 去找找看是發生什麼原因, keyword 可以選 ip, 字串 ….

    image.png
    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • Benson_Tsai
    Benson_Tsai 文章數: 9 image  Freshman Member
    First Comment
    已編輯 Jun 4 日

    有看到這個log

    0009.png

    剛剛有看到另一個log

    0011.png
  • Benson_Tsai
    Benson_Tsai 文章數: 9 image  Freshman Member
    First Comment
    已編輯 Jun 4 日
    0007.png

    有找到問題了,重開機後,這個勾勾會不見。

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 494 image  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula
    答覆✓

    紅色箭頭的選項打勾 試試看

    image.png
    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)