[請益] FortGate VPN Site-Side outgoing

看板MIS (IT資訊人員)作者 (離自相空她相)時間5年前 (2019/05/13 18:31), 編輯推噓4(4027)
留言31則, 6人參與, 5年前最新討論串1/1
請問一下, FortiOS 5.6 建 client to site IPSec Client 端使用 FortiVPN 可以連得上也可以 ping 到 FortiGate 的 LAN, VPN tunnel 在建時已經勾選了 split-tunnel 但是連上 VPN 後就無法上網... https://imgur.com/a/jtzfqY3 想問一下如果要經由 FortiGate 及不經由 FortiGate 上網,我還需要設定什麼? (有時是要連上 FortiGate 的 LAN 就好, 但有時要連到只允許 FortiGate IP in 的地方) 謝謝. -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社,人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救,有錯自己改... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.37.178 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1557743463.A.445.html

05/13 19:55, 5年前 , 1F
Policy有開嗎?
05/13 19:55, 1F

05/13 21:22, 5年前 , 2F
VPN Policy內除了來源地址還要加入使用者帳號或群組
05/13 21:22, 2F

05/13 21:47, 5年前 , 3F
05/13 21:47, 3F

05/14 07:27, 5年前 , 4F
經FORTI上網 VPN TO WAN的POLICY要開
05/14 07:27, 4F

05/14 07:27, 5年前 , 5F
不經FORTI,CLIENT有個遠端匣道器勾勾要拿掉
05/14 07:27, 5F

05/14 07:28, 5年前 , 6F
不知對不對 您再試試看一下了
05/14 07:28, 6F

05/14 14:46, 5年前 , 7F
可以看我上傳的圖,沒有那個選項呢...
05/14 14:46, 7F

05/14 15:28, 5年前 , 8F
你policy看看vpn的zone能不能對外
05/14 15:28, 8F

05/14 15:53, 5年前 , 9F
後來我發現...是我的 Wan 端沒設 gateway 出不去...
05/14 15:53, 9F

05/14 15:54, 5年前 , 10F
現在我可以透過 VPN 連外了,但是不知道,
05/14 15:54, 10F

05/14 15:55, 5年前 , 11F
若一般連線要走 client 自己,要怎麼設 split channel
05/14 15:55, 11F

05/14 16:48, 5年前 , 12F
つfortigate cookbook XD
05/14 16:48, 12F

05/15 15:28, 5年前 , 13F
解決了.在位址物件那要建一個 lan ip range,
05/15 15:28, 13F

05/15 15:30, 5年前 , 14F
到已建立的 VPN 隧道的網路裡在可訪問網路選擇 LAN,
05/15 15:30, 14F

05/15 15:30, 5年前 , 15F
確認可訪問網路上的 split channel 有勾選,這樣就行了
05/15 15:30, 15F

05/15 15:42, 5年前 , 16F
簡單說就是要讓 tunnel 知道這個連線可以去哪些地方,
05/15 15:42, 16F

05/15 15:42, 5年前 , 17F
以外的流量它就會丟還給你自己.
05/15 15:42, 17F

05/15 15:43, 5年前 , 18F
所以你應該可以定義允許轉發的位址,綁成一個 GROUP
05/15 15:43, 18F

05/15 15:44, 5年前 , 19F
將它設到可訪問網段裡,這樣就能做到指定位址/網段轉發
05/15 15:44, 19F

05/15 18:28, 5年前 , 20F
不過好像不能同時建兩個 tunnel,直接切有 sp 跟無 sp
05/15 18:28, 20F

05/15 20:45, 5年前 , 21F
理論上 把你要的透過forti的公有IP加進要SP的物件群組
05/15 20:45, 21F

05/15 20:45, 5年前 , 22F
應該就可以做到了
05/15 20:45, 22F

05/15 22:01, 5年前 , 23F
是,但因為 target 零散,我想建兩條獨立的 tunnel 省事
05/15 22:01, 23F

05/15 22:02, 5年前 , 24F
但試了之後發現好像建了第二條,就會造成一條失效...
05/15 22:02, 24F

05/16 14:05, 5年前 , 25F
後來我搞了一個 pptp channel 出來,我先來試試看,
05/16 14:05, 25F

05/16 14:06, 5年前 , 26F
如果同間兩個以上連線沒問題,就 PPTP、IPSec 分著用吧
05/16 14:06, 26F

05/16 23:41, 5年前 , 27F
我記得可以用不同使用者群組對應到不同tunnel,可以試試
05/16 23:41, 27F

05/17 10:57, 5年前 , 28F
我前兩天試了,沒辦法,設了第二條,就會錯亂...
05/17 10:57, 28F

05/17 10:57, 5年前 , 29F
我問別人,回答是一個介面只能有一個 ipsec channel.
05/17 10:57, 29F

05/20 18:07, 5年前 , 30F
現在要改試 tp mode,全得手動設,苦幹 Phase 2 中...
05/20 18:07, 30F

05/20 18:26, 5年前 , 31F
tp mode 的 client to side 該怎麼設...
05/20 18:26, 31F
文章代碼(AID): #1SsKTdH5 (MIS)
文章代碼(AID): #1SsKTdH5 (MIS)