两端防火墙使用IPSEC互PING之问题

大家好，公司再出外勤前希望我熟悉客户端的网路架构，所以让我做在公司内做LAB，他要我做的是FW1当成中心端，其他三台防火墙可以PING通FW1 1.99的网段，但是FW2、FW3、FW4彼此无法PING通，他有提示说要做IPSEC TUNNEL。以下是大概学长给我的网路架构图，目前我已设定好各个防火墙的网段，IPSEC也已设定完成，进入FW2、FW3、FW4的介面可以PING通分别FW1 2.98、3.98、4.98的网段，但是不同网段的1.99还是无法PING通，再请各位指点了，谢谢。

1 个回答

0

mytiny

iT邦超人 1 级 ‧ 2024-12-16 21:28:03

最佳解答

按照网路架构图显示
既不用建IPsec Tunnel
也不用设什么路由

只需要在FW1设以下policy(示意)
Port2 to Port1 ICMP allow
Port3 to Port1 ICMP allow
Port4 to Port1 ICMP allow
以上三条政策设好就行

至于为什么?可以跟学长讨论
或是一起去上一下代理商的免费课程
据说2025各家代理商都有开办课程
(或许在下2025也会办免费实机操作课程
在桃园地区，等有确定再来通知)

• 
  4

看更多先前的...收起先前的...

bluegrass

iT邦高手 1 级 ‧
2024-12-17 09:56:53

如果学长真有心训练他
应该中间加一只ROUTER再配ACL只给WAN的点对点通过
迫得他不搞VPN就接不通就是了

如果学长真有心训练他<br /> 应该中间加一只ROUTER再配ACL只给WAN的点对点通过<br /> 迫得他不搞VPN就接不通就是了

修改

john2699nj

iT邦新手 5 级 ‧
2024-12-17 10:57:16

@mytiny大大，感谢您得解答我已成功ping通，最后我也听取你的建议跟学长讨论ipsec的问题，原来中间还要再加L3设备做ROUTING。

@mytiny大大，感谢您得解答我已成功ping通，最后我也听取你的建议跟学长讨论ipsec的问题，原来中间还要再加L3设备做ROUTING。

修改

尼克

iT邦大师 1 级 ‧
2024-12-17 16:22:02

第二章、基础网路概念
求人不如求己，自己要看一下一些基础知识。

[第二章、基础网路概念](https://linux.vbird.org/linux_server/centos6/0110network_basic.php)<br /> 求人不如求己，自己要看一下一些基础知识。

修改

john2699nj

iT邦新手 5 级 ‧
2024-12-18 11:02:29

@尼克 感谢资源

@尼克 感谢资源

修改