Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1383 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème routage VPN

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème routage VPN

n°174953
squallone
Posté le 13-09-2021 à 19:00:30  profilanswer
 

Bonjour à tous !
 
Je viens vers vous car mon cerveau n'arrive pas à appréhender la logique du routage :D
 
Je vous explique:
 
J'ai actuellement un firewall fortinet 60f dans ma boite, qui gère un lan en 10.2.59.0/24 et dont j'ai mis des accès VPN clients via le forti qui fourni les clients en 10.212.134.0/32.
 
Avec ceci, j'ai dans mon LAN, deux routeurs cisco qui gèrent deux lignes SDSL/ADSL qui servent uniquement pour notre applicatif métier. Les routeurs sont en 10.2.59.105 et 106, et vont pointer sur le LAN de l'appli métier en 10.36.0.0.
 
du coup pour que ceci fonctionne sur les postes clients une route est ajouté sur chaque poste en manuel, jusqu'à là tout est normal et fonctionne.
 
Problème, quand les personnes sont en VPN, impossible de faire fonctionner l'applicatif métier. j'ai essayé de faire une route directement depuis le fortinet en spécifiant la plage 10.212.134.0 plutôt que le LAN 10.2.59.0 mais ça ne fonctionne pas non plus.
 
Pouvez-vous m’éclairé à ce sujet ? merci d'avance.

mood
Publicité
Posté le 13-09-2021 à 19:00:30  profilanswer
 

n°174954
Ivy gu
3 blobcats dans un trenchcoat
Posté le 13-09-2021 à 19:12:33  profilanswer
 

fais un schéma en indiquant les IP et les routes statiques que tu as configurées


---------------
Circular logic works because of circular logic.
n°174955
Charon_
Posté le 13-09-2021 à 21:54:36  profilanswer
 

Salut,
 
Tes routeurs WAN, ont-ils à minima une route 10.0.0.0/8 qui pointe vers ton Forti ?
Il semblerait que ton Forti ait bien une 0.0.0.0/0 vers tes routeurs (Normal..) mais que ces derniers ne connaissent visiblement pas ton nouveau subnet (Client VPN). Du coup, les requêtes doivent bien passer jusqu'à 10.36.0.0/xx mais le traffic inverse ne passe pas d'après ce que tu viens d'écrire.
 
En effet, comme demandé par Ivy gu, un ptit schéma et descriptions des manips ça serait plus clair.

n°175020
squallone
Posté le 27-09-2021 à 10:22:51  profilanswer
 

Rebonjour à vous,
 
merci pour vos réponses,désolé pour le temps de réponse j'étais parti sur autre chose.
 
voici un plan plus défini :  
 
https://i.ibb.co/Qc8bhbm/Plan-VPN.png
 
et la route actuelle :
 
https://i.ibb.co/GC253Xs/Capture.jpg
 
La première est simplement la route entre le forti et le routeur nominal.
 
J'ai tenté la route du dessous mais ça n'a rien donné.
 
Merci d'avance pour vos réponses.


Message édité par squallone le 27-09-2021 à 10:24:23
n°175021
Je@nb
Modérateur
Kindly give dime
Posté le 27-09-2021 à 11:34:33  profilanswer
 

faut que tes cisco aient aussi la route 10.212.134.0/24 (ou à réduire mais vu que tu un range batard c'est compliqué) qui pointe vers le forti

n°175023
squallone
Posté le 27-09-2021 à 17:16:42  profilanswer
 

ça marche je vais voir avec le prestataire du logiciel, c'est lui qui gère les routeurs dédié à l'appli.
 
J'ai prévu de rajouter deux autres sites via un tunnel VPN boitier / boitier, j'imagine que c'est la même chose, je dois leur demander de rajouter une route pour chaque réseau distant ?

n°175037
hugo91
Posté le 30-09-2021 à 22:12:43  profilanswer
 

déjà reactive ta route 10.36 qui pointe sur le cisco. ca t'évitera de claquer des routes dans l'OS des postes...
 
ensuite pourquoi ne pas simplement Nater les IP des clients VPN avec une IP en 10.2.59.xx depuis le forti comme ca ta rien à toucher sur tes cisco ou autre

n°175065
squallone
Posté le 05-10-2021 à 15:28:31  profilanswer
 

Rebonjour,
 
j'ai vu avec les presta pour rajouter les routes sur le cisco. mais ça fonctionne toujours pas. je dois rajouter des choses de mon côté j'imagine ?
 
Hugo, dans la partie virtual IP ?  
 
j'ai tenté plusieurs config mais ça ne marche pas. pour moi c'est comme ça :
 
https://i.ibb.co/ch199hd/Capture-ipv.jpg
 
Désolé je suis pas encore a l'aise avec les forti et la logique.
 
merci d'avance.
 

n°175066
Je@nb
Modérateur
Kindly give dime
Posté le 05-10-2021 à 15:33:01  profilanswer
 

je sais pas ce que tu veux faire là mais ça a pas l'air de correspondre à gd chose

n°175077
hugo91
Posté le 06-10-2021 à 22:46:03  profilanswer
 

faut que je regarde sur un forti, de tête je peux pas te dire mais ca à l'air bien ca.
 
toutes les IP de 10.212.134.200-210 sont mappées en 10.2.59.170-180.
 
donc point de vue Cisco, quand tes paquets IP en provenance des clients VPN se pointent il n'y voit que du feu, comme si c'étais une machine de ton LAN.
 
Par contre il faut que ton Forti sache que c'est aux Cisco qu'il doit envoyer les paquets à destination du réseau 10.36.0.0/16 !
Tu as bien réactivé la route sur le forti ?
 

mood
Publicité
Posté le 06-10-2021 à 22:46:03  profilanswer
 

n°175084
Charon_
Posté le 07-10-2021 à 17:45:00  profilanswer
 

Hello,
 
L’idée du NAT n’est pas mauvaise mais avec ce que tu viens de faire, tu utilises de l’espace sur ton LAN.
Il aurait mieux fallut faire un PAT ( donc un NAT « many-to-one »).
Sinon pour le routage, vu ton schéma, un 10.0.0.0/8 ou 0.0.0.0/0 vers l’IP LAN du Fortinet est censé faire l’affaire.

n°175504
squallone
Posté le 02-12-2021 à 15:03:20  profilanswer
 

Merci pour vos réponses.
 
Au final pas de virtual IP, pas forcément nécessaire. Mon logiciel métier est accessible via navigateur et l'ip.
 
Je me suis pas mal cassé le crâne à savoir pourquoi ça ne fonctionnait pas, et finalement, dans ce menu, j'ai désactivé le split tunneling plutôt qu'activé sur la base de ma policy, et comme par magie mon soft fonctionne parfaitement !
 
https://i.ibb.co/qxnwTXM/Capture-d-cran-2021-12-02-145935.jpg
 
Seul problème, et pas des moindres, le poste client perd la connexion internet en étant connecté au vpn..
 
Quelles solutions hybrides pourrais-je trouver pour faire marcher les deux en même temps ?
 
merci beaucoup

n°175509
exmachina
Posté le 02-12-2021 à 22:31:16  profilanswer
 

est ce que sur ton vpn la regle (ipv4 policy)
section ssl_vpn tunneling  to wan
la regle :
10.212.134.0/32 --> 10.36.0.0/32?  accept existe ?
 
 
 

n°175511
squallone
Posté le 03-12-2021 à 09:56:26  profilanswer
 

Pas sur la WAN non.
 
Mais effectivement j'ai refais une policy ssl lan et ça fonctionne :) merci beaucoup !


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème routage VPN

 

Sujets relatifs
Problème perte de ping réseau wifiProblème d'accès sur un domaine suite reboot
Switch HP (Aruba) 2530-48G Problème Agregation de lienVPN IPSec Zyxel, flux dans un sens, pas dans l'autre !
Problème Exchange, on envoit à A, c'est B qui reçoitProbleme avec le dhcp sur cisco
Communication entre serveur et poste client via VPN, problème domaineVPN et problème de routage actif/persistant
[Résolu]Problème de routage VPN Cisco 3640 
Plus de sujets relatifs à : Problème routage VPN


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR