兩台USG310無法設定Policy Route

蘇介吾蘇介吾 Member Posts: 21  Freshman Member






Dear ZyXEL技術部,您好:

網路架構如附件,我打0800跟貴公司技術支援客服請教,終於設定好 VTI,但是文件上只教用『靜態路由』,但是網路上搜尋都說要設定『策略路由』!我擔心 HQ 的其中一路斷線後VPN不會自動切換,請教該如何設定?

Comments

  • Zyxel_CharlieZyxel_Charlie Zyxel Official Agent Posts: 848  mod
    @ 蘇介吾
    以這個情境來說,HQ Site如果ge1和ge2_ppp2的VTI已設定完成,需要創建附載平衡策略和策略路由以讓VPN可自動切換。

    來源和目的地位址對應到是HQ site lan端和Branch site的lan端

  • 蘇介吾蘇介吾 Member Posts: 21  Freshman Member
    請教一下,哪兩邊的靜態路由就要取消了,對嗎?
  • Zyxel_CharlieZyxel_Charlie Zyxel Official Agent Posts: 848  mod
    @蘇介吾
    對的,在Branch要加一條策略路由。
    來源: local端的IP,目的: remote端的local IP, 下個躍點:interface, 選你創建的VTI profile
  • 蘇介吾蘇介吾 Member Posts: 21  Freshman Member
    edited June 4, 2020 10:46AM
    救命啊!設定完之後,VPN能互通 (只能互相 ping 對方 USG310內網 ip),但是要 ping 到對方內網其他電腦都不行!而且設定靜態路由還會出錯!今天(109/05/28)下午可以幫忙連線看一下嗎?謝謝。











  • 蘇介吾蘇介吾 Member Posts: 21  Freshman Member
    Dear Charlie,

    問題找到了... 原來是不小心把SNAT打開所致。

    但是出現另一個問題,本來用單一條VPN或是VTI+靜態路由都可以 ping 到對面的 USG310,但是改成策略路由之後就 ping 不到、也連不上了,可以幫忙想看看問題出在哪裡嗎?

    ps.打去你們公司,居然說沒有 Charlie 這個人?! 真奇怪。


  • Zyxel_CharlieZyxel_Charlie Zyxel Official Agent Posts: 848  mod
    @蘇介吾
    你這邊HQ和Branch都要各加一筆策略路由
    Incoming: Zywall, 目的地: 另一端的local subnet,Next Hop: VTI interface

    蘇介吾
  • 蘇介吾蘇介吾 Member Posts: 21  Freshman Member
    收到,明天早上試試 ^_^
  • 蘇介吾蘇介吾 Member Posts: 21  Freshman Member
    可以了,Thx!


    Zyxel_Charlie
Sign In to comment.