fragen stichworte

VPN-Tunnel, Konflikte zwischen Subnetzen

Ich versuche, einen IPsec-VPN-Tunnel zwischen zwei Standorten zu erstellen.

Site 1
Fortigate 140D
Lokales Subnetz: 192.168.1.0/24

Site 2
Fortigate 100D
Lokales Subnetz: 192.168.2.0/24

Aber wenn ich versuche, es zu erstellen, wird mir der Fehler angezeigt: Conflicts with existing local subnet(s)

Ich verstehe nicht warum ... kann mir das jemand erklären? Was ich machen muss?

enter image description here

antworten

Die dedizierte Verwaltungsschnittstelle der Fortigate Firewall verfügt standardmäßig über eine IP-Adresse im Bereich 192.168.1.0/24. Bitte beachten Sie, dass dies nicht die interne Schnittstelle ist, sondern ein weiterer dedizierter Port für die Verwaltung mit der Standard-IP 192.168.1.99. Mit dieser Schnittstelle können Sie direkt über die IP-Adresse 192.168.1.2 und das Subnetz 255.255.255.0 eine Verbindung zur Firewall herstellen.

Ich denke, diese Grundeinstellung der Firewall ist der Grund des Konflikts. Sie können dies selbst untersuchen und herausfinden. Entweder müssen Sie den IP-Bereich der Verwaltung oder den IP-Bereich des Remote-Netzwerks ändern, damit der vpn funktioniert.

Diese Warnung weist Sie darauf hin, dass Ihre Konfiguration zu einer IP-Adressraumkollision führen würde. Das 192.168.1.0/24 Subnetz, zu dem Sie eine Remote-Verbindung herstellen möchten, ist bereits lokal vorhanden.

Sie können nicht den gleichen IP-Adressraum an zwei verschiedenen Stellen in Ihrem WAN haben. Daher müssen Sie entweder das entfernte Subnetz in ein nicht vorhandenes Teil ändern oder das 192.168.1.0/24 -Subnetz aus dem lokalen Netzwerk entfernen .

Obwohl die Subnetze 192.168.1.0/24 und 192.168.2.0/24 unterschiedlich sind, denkt das Gerät bei 192.168.2.254, dass 192.168.1.0/24 mit dem lokalen Subnetz in Konflikt steht.

Vielleicht verwendet das Gerät bei 192.168.2.254 tatsächlich eine Netzmaske von 255.255.252.0, die ein /22 wäre und einen IP-Bereich von 192.168.0.0 - 192.168.3.255

In beiden Fällen scheint es, dass Sie ein Site-to-Site-IPsec-VPN mit überlappenden Subnetzen versuchen. Fortinet verfügt über ein Dokument, in dem beschrieben wird, wie Site-to-Site-IPsec-VPN mit überlappenden Subnetzen erreicht wird.