有關Flex 200防火牆無法ping子網段介面IP

選項
Benson_Tsai
Benson_Tsai 文章數: 9  Freshman Member
First Comment
防火牆系列

目前公司的網段規劃共五個段網OA網段:192.168.1.x

VPN Pool:192.168.6.x

測試主機網段:

ESXi管理網段:192.168.128.x

ESXi VM主機:10.203.1.x

ESXi VM備份:192.168.32.x

以下畫面是Flex 200防火牆的設定

連接埠角色設定畫面

P4、P5、P6設定橋接模式

P7 設定VLAN Zone子介面

image.png

wan1為中華電信固定IP。

image-a93bb311fde628-823c.png

切三個子網段

image-25224ee031c768-04e7.png image-76fd66d7b5623-23c7.png

橋接的設定

指定的P4、P5、P6三個埠為LAN1為br1做橋接。

image-c38ab15e457828-dead.png image-6bc0d399d858f-0768.png image-880f2ab0a185e-2f23.png

L2TP VPN設定 目前可正常連線,但只能ping得到VPN自己的網段及192.168.1.x,無法ping到VLAN 4的IP。

image-11436e84947d38-c11c.png

image-ef909e18c72f-bc99.png

防火牆政策設定

目前有加入從OA至VLAN4網段及VPN至VLAN4網段。

image-647026bfdaf07-8783.png image-a7d0e57e23b35-9c4d.png

image-2bac0d6efd1a6-336d.png

Switch已經切了VLAN2、VLAN3、VLAN4及一個Trunk埠,並從Trunk埠連接至Flex 200的P7埠(reserved)。

請問還有哪裡需要設定呢?

Accepted Solution

All Replies

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 428  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    你好, 從上文判斷建議先暫停 security policy 的第一, 二條規則

    畢竟你已經有預設的 security policy

    LAN1 to Any 與 IPsecVPN to Any 了

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • Zyxel小編 Koda
    Zyxel小編 Koda 文章數: 164  Zyxel Employee
    5 Answers First Comment Friend Collector Third Anniversary
    已編輯 May 23 日

    您好,您在暫停 security policy 的第一, 二條規則後,由於您的VPN ZONE是新創的,

    您必須設定允許VPN ZONE 到LAN1 或IPSEC-VPN的規則,不然會被預設規則給阻擋。

    如果還是不行,請聯繫/私訓我們遠端協助您 。

  • Benson_Tsai
    Benson_Tsai 文章數: 9  Freshman Member
    First Comment

    有抓到問題了,必須在Server端加入路由才能通。
    因為Server的Default Gateway已經設了192.168.128.254了
    只能增加路由的方式。

    我增加了這個

    route add 192.168.1.0 mask 255.255.255.0 192.168.32.254

    我可以從192.168.1.0的網段ping到192.168.32.71的Server

    但是透過VPN連進來就無法ping到了。

    VPN使用者必須也要增加路由才能ping到192.168.32.71的Server

    後來我刪除原來的路由,增加了另一個路由

    route add 0.0.0.0 mask 0.0.0.0 192.168.32.254

    這樣透過L2TP VPN連線就可以ping到192.168.32.71的Server了。

    想請問一下,這台Flex 200有辦法做VPN的route push嗎?

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 428  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula
    已編輯 May 23 日

    你好,

    原來是 server 端的 route 影響了,

    另外, 詢問的 route push 目前為止我們家的 vpn 設定檔沒有提供這樣的預設定

    謝謝

    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • Benson_Tsai
    Benson_Tsai 文章數: 9  Freshman Member
    First Comment

    請問本來VPN設定好了,也可以連線了,預設的policy應該就可以讓VPN使用者連外網,但是昨天重啟防火牆後,就發現VPN連線者無法連外網了,需要檢查或設定什麼地方嗎?

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 428  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula

    可以 monitor > log > view log

    點開 show filter 之後, 用keyword 去找找看是發生什麼原因, keyword 可以選 ip, 字串 ….

    image.png
    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀
  • Benson_Tsai
    Benson_Tsai 文章數: 9  Freshman Member
    First Comment
    已編輯 Jun 4 日

    有看到這個log

    0009.png

    剛剛有看到另一個log

    0011.png
  • Benson_Tsai
    Benson_Tsai 文章數: 9  Freshman Member
    First Comment
    已編輯 Jun 4 日
    0007.png

    有找到問題了,重開機後,這個勾勾會不見。

  • Zyxel小編 YM
    Zyxel小編 YM 文章數: 428  Zyxel Employee
    Zyxel Certified Network Engineer Level 2 - WLAN Zyxel Certified Network Engineer Level 2 - Switch Zyxel Certified Network Engineer Level 2 - Security Zyxel Certified Network Engineer Level 2 - Nebula
    答覆✓

    紅色箭頭的選項打勾 試試看

    image.png
    YM
    Zyxel官方粉絲團Zyxel使用者交流社團 歡迎您的加入😀

分類

Zyxel Help Center

EnglishTiếng ViệtРусскийไทย中文(台灣)