Forum
Merkez ve şube arasında site to site ipsec vpn yapmaya çalışıyorum.
http://www.youtube.com/watch?v=xltPuIZT9uU
Rzknın şu videosunu referans aldım fakat merkez-şube haberleşmesini sağlayamadım.
Ayarları yaptım cihazları resetledim. Vpn monitör aşağıdaki gibi yeşil verdi, fakat birbirlerinin locallerine ping atamıyorum. Acaba nerde yanlış yapıyorum.
(5-6 ay önce yine denemelerim olmuştu fakat aynı şekilde yapamamıştım. Şubeler arası ip telefon trafiğini vpn üzerinden çalıştırmak istiyorum.
Şuan port açarak ip telefon çalıştırıyorum. Vpn meselesini yapmam lazım)
Merkezdeki vpn monitör
Şube vpn monitör
MErhaba,
Firewallların CLI console ekranlarından birbirlerinin localine ping atabiliyor musunuz ?
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
merhaba iki tarafta fortigate oldğu için vpn yapısını interface olarak yapmakta fayda var
böylece sip yapısını daha sağlıklı çalışır.
tunelmod yapmak istersenizde aşağıdaki linkten faydalanabilirsiniz.
MErhaba,
Firewallların CLI console ekranlarından birbirlerinin localine ping atabiliyor musunuz ?
Maalesef locallere ping atamıyorum.
O halde routing tarafında olabilir, farklı bi yerde bir hata yaptınız, tekrar kontrol etmeniz fayda var,
Policy base vpn mi yaptınız, route base mi ?
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
merhaba iki tarafta fortigate oldğu için vpn yapısını interface olarak yapmakta fayda var
böylece sip yapısını daha sağlıklı çalışır.
tunelmod yapmak istersenizde aşağıdaki linkten faydalanabilirsiniz.
Burak bey interface olarak vpn yapmak ne demek. Bunu anlatan bi yazı var mı?
Benim yaptığım ipsec vpn nasıl bir yapıda oluyor.
O halde routing tarafında olabilir, farklı bi yerde bir hata yaptınız, tekrar kontrol etmeniz fayda var,
Policy base vpn mi yaptınız, route base mi ?
Rzknın http://www.youtube.com/watch?v=xltPuIZT9uU
bu videosunu kendi yapıma göre ayarladım.
Route ve policy ikiside var.
Monitörlerde paket iletimide görünüyor. İletişim olmasa yeşil olmaz diye tahmin ediyorum ama locallara ping yok.
Merhaba,
Ben geçenlerde benzer bir sorunu, Ipsec VPN up olmasına ragmen ping atamıyorduk,
Sorunu şu şekilde çözmüştük,
Ip tanımlarını yaparken
bolge 1 lan 192.168.10.0/24
Bolge 2 lan 192.168.20.0/24 olarak düzenlemiştim.
Not: ikisinden birinde /24 yazmassın bile aynı sorunu yaşabilirisniz,
Kontrol eder misiniz ayarları
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhaba,
Ben geçenlerde benzer bir sorunu, Ipsec VPN up olmasına ragmen ping atamıyorduk,
Sorunu şu şekilde çözmüştük,
Ip tanımlarını yaparken
bolge 1 lan 192.168.10.0/24
Bolge 2 lan 192.168.20.0/24 olarak düzenlemiştim.
Not: ikisinden birinde /24 yazmassın bile aynı sorunu yaşabilirisniz,
Kontrol eder misiniz ayarları
Bendede aynı bu şekilde.
Merkez lan 192.168.10.0/24 Şube lan 192.168.20.0/24
Burak beyin verdiği linkten
-phase 2 kısmında source dest. iplerini merkez ve şubenin local ağları olcak şeklide yazdım, rzk ya göre boş bırakmıştım.
-ike v1 idi bunu v2 yaptım.
-auto keep alive seçili değildi ben seçtim.
şu an
-merkezdedeki fortigate cli üzerinden şube localdeki kamera cihazına ping atabiliyorum. Tuhaf olanı merkezden şubenin wan ip sine ping atamıyorum. Merkez localden şube locale ping atamıyorum.
-şubeden fortigate cli üzerinden merkez localdeki kamera veya kendi pcmi ping atamıyorum fakat merkezin dış bacağına pin atabiliyorum
bu işte bi terslik var.
Merhbaa,
Dış bacağa ping atmak yada bunu kontrol etmek için, interface ayarlarından ping açmanız lazım.
Eğer bazı cihazlara atıp bazılarına atamıyorsanuz, hepsinde GW doğru olduğuna emin olmalısınız.
Yapılarınızda firewall tüm cihazlarda GW mi ?
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Merhbaa,
Dış bacağa ping atmak yada bunu kontrol etmek için, interface ayarlarından ping açmanız lazım.
Eğer bazı cihazlara atıp bazılarına atamıyorsanuz, hepsinde GW doğru olduğuna emin olmalısınız.
Yapılarınızda firewall tüm cihazlarda GW mi ?
-kullanılan bacakların hepsinde ping açık. sabah kontrol etmiştim.
-hepsinde gw fortigate, hepsi int. buradan çıkıyor. Gw olduğuna eminim aksi halde internete çıkamaz ararlar. Alternatif gw yok.
tracert attığınızda paketler nerede düşüyor ?
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
bu vpn türünde cihazlarda sanal interface oluşturur ve policy yapısı "internal to vpn_interface", "vpn_interface to internal" şeklinde olur ve policy route ile static route yazarak networkler birbirleri ile görüştürülür. gün içerisinde interface mod vpn makalesi yayınlarım.
şu anki soruna gelirsek 2 cihazda tek internet varsa bağlantısa problem olmaması gerek. ama her hangi cihazda 1 den fazla internet varsa policy route yazmak gerekebilir. tam ayarların ekran görüntülerini yollarsanız sorunun nerde olduğunu görebiliriz.
tracert attığınızda paketler nerede düşüyor ?
Şöyle bi tuhfalık var.
Merkez local pc ====> şube wan ip ping atıyorum
Merkez fortigate cli =====> şube wan ip ping atamıyorum (bunu sebebi rzknın videosuna göre - execute ping-options source 192.168.10.200 yapmıştım bunu execute ping-options source (dış ip) yaptım. Merkez fortigate cli =====> şube wan ip ping atıyorum.
Merkez localden ======> şube locale tracert 192.168.20.100 yapıyorum fakat merkez fortigate lan gw dışına çıkamıyor
C:\Windows\system32>tracert 192.168.20.100
En çok 30 atlamanın üstünde 192.168.20.100'e giden yolu izlemek
1 <1 ms <1 ms <1 ms 192.168.10.200
2 * * * İstek zaman aşımına uğradı.
3 * * * İstek zaman aşımına uğradı.
4 * * * İstek zaman aşımına uğradı.
5 * * * İstek zaman aşımına uğradı.
6 * * * İstek zaman aşımına uğradı.
7 * * * İstek zaman aşımına uğradı.
8 * * * İstek zaman aşımına uğradı.
9 * * * İstek zaman aşımına uğradı.
10 * * * İstek zaman aşımına uğradı.
11 * * * İstek zaman aşımına uğradı.
12 * * * İstek zaman aşımına uğradı.
13 * * * İstek zaman aşımına uğradı.
14 * * * İstek zaman aşımına uğradı.
15 * * * İstek zaman aşımına uğradı.
16 * * * İstek zaman aşımına uğradı.
17 * * * İstek zaman aşımına uğradı.
18 * * * İstek zaman aşımına uğradı.
19 * * * İstek zaman aşımına uğradı.
20 * * * İstek zaman aşımına uğradı.
21 * * * İstek zaman aşımına uğradı.
22 * * * İstek zaman aşımına uğradı.
23 * * * İstek zaman aşımına uğradı.
24 * * * İstek zaman aşımına uğradı.
25 * * * İstek zaman aşımına uğradı.
26 * * * İstek zaman aşımına uğradı.
27 * * * İstek zaman aşımına uğradı.
28 * * * İstek zaman aşımına uğradı.
29 * * * İstek zaman aşımına uğradı.
30 * * * İstek zaman aşımına uğradı.
İzleme tamamlandı.
C:\Windows\system32>
bu vpn türünde cihazlarda sanal interface oluşturur ve policy yapısı "internal to vpn_interface", "vpn_interface to internal" şeklinde olur ve policy route ile static route yazarak networkler birbirleri ile görüştürülür. gün içerisinde interface mod vpn makalesi yayınlarım.
şu anki soruna gelirsek 2 cihazda tek internet varsa bağlantısa problem olmaması gerek. ama her hangi cihazda 1 den fazla internet varsa policy route yazmak gerekebilir. tam ayarların ekran görüntülerini yollarsanız sorunun nerde olduğunu görebiliriz.
Cihazlada tek internet var. Burak bey özele msj gönderdim capsleri.
Birde rzknın videosunun sonuda
cli
execute ping-options source xxx.xxx.xxx.xxx
ip no belirtmemiz gerekiyor. Bunu hiç anlayamadım. Belki burada bi hata yapıroum.
Burak bey aşağıdaki videodan faydalanarak ipsec vpn kurmaya çalışıyorum. Biraz farklı.
http://www.youtube.com/watch?v=8sDbUZAwzE0
phase1-2 ayarladım fakat policy oluşturma kısmında en altta mevcut vpn tunnelleri arasında oluşturduğum tünel görünmüyor.
Acaba bir özelliği aktif etmem mi gerekiyor.