site to site(IPSec VPN)連線後ping不到nas
客服您好,
我手邊有三台防火牆放在三個不一樣的地區(三台都為固定IP),網路拓撲如附。
都是用site to site(IPSec VPN)連線,三台防火牆都持續連線正常。
但奇怪的是…
1.A站的nas,在B站及C站的PC端都能ping到,也能連入A站的nas共用資料夾。
2.B站的nas,在A站及C站的PC端都無法ping到,也無法連入nas共用資料夾。
然而,我有在B站的nas內使用vm建立windows 11,奇妙的是,使用windows內建的“遠端桌面連線“程式,輸入192.168.99.14,可正常連入vm-win11並使用。
3.我嘗試在B站設定防火牆、nat、策略路由等設定,但仍無法讓A站及C站連到B站的nas。
p.s-1:b站在防火牆後另外還有switch、無線ap,在A站及C站的pc端可以ping到及連入B站的這兩個設備。
p.s-2:我在b站有另開SSL-VPN,在斷開防火牆與b站site to site(IPSec VPN)連線,並在A站及C站使用“ZyWALL SecuExtender“連線程式測試,神奇的是,竟然就能連上b站的nas了。
在論壇上及網路上找了許多,也試了好幾天各種設定,但仍無法解決。
請問到底是哪裡出問題呢?
先在此感謝協助。
Accepted Solution
-
Hi @Arieshung
因為A站跟C站已經能連到B站的一、二、三、五,代表這部分的VPN 是沒有問題.
且您連到B站的SSLVPN 可以連到一二三四五,代表你NAS Gw 應該也都有設定正確.差別只在於連線到NAS的來源IP不同而已.
故這部分可能要看一下NAS是否有封鎖,或是可以設定白名單IP,pass 你A/C 點的IP
另外一個方式是可以設定策略路由,方式如下.此動作是將你A/C 點要連線NAS時,會SNAT你防火牆的介面IP去連NAS
1
Zyxel Employee
All Replies
-
Hi @Arieshung ,你有檢查B站的NAS 是否有阻擋A站及C站的PC IP呢??
1 -
1.我這邊沒有作阻擋設定。
2.B站底下的設備
一、防火牆(192.168.99.1)
二、HP-SWITCH(192.168.99.2)
三、asus ap(192.168.99.3)
四、nas(192.168.99.50~52)
五、nas裡的vm-win(192.168.99.14)
A站跟C站能ping及連入上述設備一、二、三、五,唯獨只有四無法ping跟連入。
另外,改成SSLvpn撥接連線後,上述設備一二三四五卻又都能ping及連入。
謝謝。
0 -
Hi @Arieshung
因為A站跟C站已經能連到B站的一、二、三、五,代表這部分的VPN 是沒有問題.
且您連到B站的SSLVPN 可以連到一二三四五,代表你NAS Gw 應該也都有設定正確.差別只在於連線到NAS的來源IP不同而已.
故這部分可能要看一下NAS是否有封鎖,或是可以設定白名單IP,pass 你A/C 點的IP
另外一個方式是可以設定策略路由,方式如下.此動作是將你A/C 點要連線NAS時,會SNAT你防火牆的介面IP去連NAS
1 -
非常感謝您,在設定好策略路由後就能ping到及連入B站的nas了。
再次感謝。
0
