لدينا موقعان ولكل منهما جدران حماية، وموفر خدمة الإنترنت لدينا هو Comcast. الموقع أ لديه جدار حماية بولبو ألوه، والموقع ب لديه جدار حماية SonicWall. تتصل الشبكة الداخلية للموقع أ والموقع ب عبر Metro-E الذي توفره لنا Comcast، وهكذا يمكن لمستخدمينا التواصل عبر Metro-E. المشكلة التي أواجهها مع GlobalProtect على جدار حماية الموقع أ، يمكنني أن أبعث Ping لكل شيء في الشبكة الداخلية للموقع أ لكن لا أستطيع أن أبعث Ping لأي شبكات داخلية في الموقع ب. عندما أكتب route print، أرى الشبكات لأنني أستخدم نفق مجزأ.
كان الموقع أ يستخدم جدار حماية SonicWall قبل الترحيل إلى جدار حماية PA-3250، وتمكنا من الوصول إلى كل من الشبكات الداخلية في الموقع أ والموقع ب. راجعت إعدادات SSLVPN على SonicWall ولم أجد اختلافًا.
شبكة GlobalProtect SSLVPN لدينا هي 172.16.1.0/24، لذلك أحتاج إلى إضافة هذه الشبكة إلى المفتاح الرئيسي لدينا لكي أتمكن من التوجيه إلى الموقع ب. عندما أراجع سجل المراقبة على جهاز PA، فإن السياسة تسمح لها بالخروج إلى الواجهة الخارجية لكن لا تعرف كيفية العودة، لذلك يتم إسقاط الحزمة.
إذا قمت بعمل VPN إلى الموقع أ، ولا يمكنك الوصول إلى الموقع ب، فسوف أبدأ بمراجعة إعداد تكوين التقسيم الصحيح للنفق على بوابة GlobalProtect الخاصة بك. سيوضح اختبار traceroute إذا كانت الحزم إلى الموقع ب تخرج على VPN الخاص بك، أو إذا كانت تتجه بشكل غير صحيح في مسار آخر.
إذا كانت الحزم الخاصة بك إلى الموقع ب تذهب إلى VPN الخاص بك، فستتحقق بدلاً من ذلك إذا كانت تصل إلى الموقع ب. اختبار ذلك عبر إجراء ping إلى سيرفر يشغل التقاط حزم، لترى ما إذا كان السيرفر يتلقى الـ ping. قد تفشل الحزم في الوصول بسبب عدم وجود مسار، أو بسبب حظر في مكان ما.
إذا كانت حزمك تصل بنجاح إلى الموقع ب، فإن الخطوة التالية هي النظر في مسار العودة. هل يتم السماح بالمرور؟ هل يوجد مسار للعودة؟ يمكنك اختبار هذه المشكلة على هيئة خطوات أصغر، مما سيسرع حلها.
آمل أن يكون ذلك مفيدًا!
شبكة GlobalProtect SSLVPN لدينا 172.16.1.0/24، لذلك أحتاج إلى إضافة هذه الشبكة إلى المفتاح الرئيسي لدينا لكي أتمكن من التوجيه إلى الموقع ب. عند مراجعة سجل المراقبة على جهاز الـ PA، فإن السياسة تسمح لها بالخروج إلى الواجهة الخارجية لكنها لا تعرف كيف تعود، لذلك يتم إسقاط الحزمة.
أنت أيضًا بحاجة إلى إخبار الموقع ب كيف يوجّه العودة إلى تلك الشبكة
انظر أيضًا إلى proxy IDs في سياسات IPSEC الخاصة بك إذا كانت التوجيهات تبدو صحيحة من الموقع أ.