הי.

מותקן אצלי בחברה FORTIGATE 100, חלק אנשים מתחברים מרחוק עם הVPN דרך האקפלורר (FORTIGATE SSL) , אבל לעיתים ישנם מקרים שבהם אחד מהעובדים מתחבר,והVPN מראה על מצב של UP וישנה תעבורה, אבל עדיין הוא לא מצליח להתחבר לרשת של המשרד (OUTLOOK לא מצליח להתחבר). הבנתי שבגלל שאצלנו במשרד כתובת הIP מתחילות ב-10.1.1., לעיתים רשתות אלחוטיות מקצות כתובות מאותו CLASS. ואז הVPN SSL לא מתחבר. כשמדובר ברשת ביתית של אחד העובדים אני יודע שניתן להכנס להגדרות של הראוטר ולשנות את הCLASS שהוא מקצה, אבל מה ניתן לעשות כשמדובר ברשת של מלון או משרד אחר ? האם ניתן לשנות משהו ההגדרות של המחשב נייד עצמו (כרטיס רשת ? ) בכדי לגרום לVPN להתחבר ולעבוד גם.. ?

יש למישהו פתרון ?תודה!

אפשר לעשות שני דברים:

א. אם יש לך שרתים או תחנות קבועות שאליהם הם צריכים לגשת. אפשר לתת להם כתובות IP קבועות וחוקיות (צריך לדבר על זה עם הספק). בצורה זו יש להגדיר את השרתים על פורט DMZ. החיסרון הוא שלא יהיה לך wins לשרתים . בנוסף, תצתרך לפתוח חוקים מה-DMZ ל-INT ובין ה-VPN ל-DMZ וההפך כדי לאפשר גישה בין הרשתות.

ב. כשאתה מתחבר ב-VPN אתה מקבל default gateway. אפשר לנסות להגדיר ניתוב סטטי על כל התחנות שמתחברות באמצעות VPN

route add 10.1.1.0 mask 255.255.255.0 <forti default gateway> -p

במקום <forti default gateway> תתן את הכתובת IP של ה-default gateway שהפורטי נותן.

החיסרון הוא שזה פתרון שתלוי במחשב של המשתמש ולא פתרון מרכזי.

אם ב' לא עובד, אל תשכח להוריד את הניתוב ע"י הפקודה הבאה:

route delete 10.1.1.0 mask 255.255.255.0 <forti default gateway> -p

איפה אני מכניס את הפקודה הזו במחשב ?

start > run > cmd

אתה יודע מה ה-default gateway?

כאשר מתחברים ב-VPN אני יודע שהוא שונה מאשר ברשת הפנימית במשרד.

במשרד זה 10.1.1.254

בVPN זה מתחיל עם 172 משהו כזה.

אז יש בעיה.

כי אם תכניס את הפקודה זה יעבוד לך ב-VPN אבל לא יעבוד לך האינטרנט כשתגיע למשרד.

אני לא זוכר היכן ואם יש בכלל אפשרות שב-VPN תקבל כתובות מה-LAN (כתובת 10 כמו במשרד)

אם אין - תצטרך להגדיר כתובות חוקיות (אפשרות א')

עריכה: בדקתי - אפשר לשנות. אבל צריך לבדוק איך זה עובד (מצד אחד צריך להגביל את ה-DHCP של ה-LAN ומצד שני צריך להגביל את הכתובות שמקבלים ב-VPN).

להגדיר את שתיהם לאותו CLASS ?

10.1.1 וכו' ?[br]פורסם בתאריך: 2.09.2007 בשעה 10:12:18

---

בDHCP אצלי מוגדר שכל מחשב מקבל את הכתובת 10.1.1. והספרה האחרונה היא מספר המחשב ברשת.

לשנות את זה ?

מי שרת ה-DHCP במשרד? הפורטיגייט? אם כן, בתוך הממשק שלו אתה יכול להגדיר לו את פול הכתובות שהוא מקצה למחשבים ברשת. אתה יכול להגדיר גם פול נפרד לחיבורי VPN, כך שכל מה שאתה צריך לעשות זה לפצל את ה-Class C של 10.1.1. לשתי קבוצות: אחת ל-DHCP והשניה ל-VPN.

שלילי, השרת DHCP הוא גם השרת EXCHANGE.

הפורטיגייט לא מחלק כתובות ברשת הפנימית, רק בVPN, יש לו פול מסויים שאותו הוא מחלק (והוא לא 10.1.1.)

אבל השאלה היא אם ההתנגשויות ברשתות מסוימות שמחלקות גם כן 10.1.1.1 למחשבים ברשת באמת פתירה, אני אבדוק אם העניין עם הROUTE, אולי ניתן ליצור איזה BATCH שמפעיל ומבטל את העניין.

נתקלת פעם בבעיה הזאתי ?

אז תגדיר בפורטיגייט שיחלק ל-VPN כתובות פנויות מהפול של 10.1.1 (תבדוק כמובן מה טווח הכתובות שמוקצה ל-DHCP באקסצ'יינג'). זה אמור לעבוד.

ואז אם אתה גולש ברשת בבית שלך, והראוטר שלך בבית מקצה למחשב שלך כתובת של 10.1.1.. לא יהיה קונפליקט ? הרי זה מה שקורה בעצם עכשיו, ה-VPN מראה שהוא UP אבל לא מתחבר לאאוטלוק ולרשת של המשרד בגלל התנגשות של הכתובות.

מה יותר פשוט מלהגדיר חייגן VPN על המחשב שלך ולבדוק אם זה עובד או לא? הסיכוי שהראוטר הביתי שלך הקצה לך את אותה כתובת שמוקצית למחשב כלשהו ברשת שאתה מתחבר אליה ב-VPN הוא קלוש.

תפעיל tcpdump על הפורטיגייט ותראה אם הפאקטים עוברים בינו לבין האקסצ'יינג' כשאתה מחובר ב-VPN.

אצלי ספציפית בבית הראוטר מקצה לי כתובת של 192.168

אבל כשמישהו מתחבר ברשת שבה הכתובות הן 10.1.1 אז זה לא מתחבר, ואיך ניתן להגדיר פול של כתובות אם אתה לא יודע איזו כתובת הרשת תיתן לך ?

יכול להיות שאני אתן לVPN כתובות של 10.1.1.200-254

אבל כל עוד הראוטר ייתן כתובות מאותו CLASS, העסק לא יתחבר. אני לא יודע למה.. אבל זה מה שהבחור שהתקין לי אותו אמר.

הוא המליץ לי לרכוש CLIENT או לשנות את הפול שיש לי פה ברשת במשרד.. אם משהו מהדברים שכתבת יעבוד אז אחלה. אבל הצעתי לו את העניין עם הROUTE ושינוי הכתובות הניתנות ע"י הפורטיגייט. והוא אומר שזה לא יעבוד..

מה דעתך ?

טוב, נחזור רגע אחורה. האם *כל* מי שיש לו בבית רשת של 10.1.1.* לא מצליח לתקשר עם המשאבים ברשת במשרד?

כן.. בבית זה עוד חצי צרה, אפשר להיכנס להגדרות של הראוטר ולשנות. מה קורה שהמנכ"ל בחו"ל במלון ולא מצליח להתחבר..

אגב, אילו פורטים צריך להגדיר בפורטיגייט בשביל סקייפ? כרגע פתחתי את כל ה-UDP, אבל זה לא נראה חכם במיוחד.

עוד משהו.. האם שמעת פעם על מסנן ספאם בשם PANDA GATE DEFENDER ? קיבלתי אותו היום לשבוע ניסיון, הבחור מתעקש שהוא הרבה יותר טוב מהפיינאפ ומהפורטימייל. וגם קצת יקר (2500$) יותר. שמעת משהו עליו ?