[請益] FortGate VPN Site-Side outgoing

看板 MIS

作者 freeunixer (離自相空她相)

時間 2019-05-13 18:31:00

留言 31 ( 4推 0噓 27→ )

請問一下, FortiOS 5.6 建 client to site IPSec Client 端使用 FortiVPN 可以連得上也可以 ping 到 FortiGate 的 LAN, VPN tunnel 在建時已經勾選了 split-tunnel 但是連上 VPN 後就無法上網... https://imgur.com/a/jtzfqY3 想問一下如果要經由 FortiGate 及不經由 FortiGate 上網,我還需要設定什麼? (有時是要連上 FortiGate 的 LAN 就好, 但有時要連到只允許 FortiGate IP in 的地方) 謝謝. -- 讀者審校網試行版(2018/1/1 更新網址) http://readerreviewnet.processoroverload.net/ (哲、史、法、政、經、社，人文翻譯書籍錯譯提報網) ◎洪蘭"毀人不倦"舉報專區 http://tinyurl.com/ybfmzwne 讀者需自救，有錯自己改... -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 60.250.37.178 ※ 文章網址: https://www.ptt.cc/bbs/MIS/M.1557743463.A.445.html

留言

推 qwert88 Policy有開嗎？ 05/13 19:55 1F

推 pigya0214 VPN Policy內除了來源地址還要加入使用者帳號或群組 05/13 21:22 2F

→ freeunixer 是說這裡嗎? https://imgur.com/a/2SQIAe1 05/13 21:47 3F

推 trust0214 經FORTI上網 VPN TO WAN的POLICY要開 05/14 07:27 4F

→ trust0214 不經FORTI，CLIENT有個遠端匣道器勾勾要拿掉 05/14 07:27 5F

→ trust0214 不知對不對您再試試看一下了 05/14 07:28 6F

→ freeunixer 可以看我上傳的圖,沒有那個選項呢... 05/14 14:46 7F

推 phoenixcx 你policy看看vpn的zone能不能對外 05/14 15:28 8F

→ freeunixer 後來我發現...是我的 Wan 端沒設 gateway 出不去... 05/14 15:53 9F

→ freeunixer 現在我可以透過 VPN 連外了,但是不知道, 05/14 15:54 10F

→ freeunixer 若一般連線要走 client 自己,要怎麼設 split channel 05/14 15:55 11F

→ deadwood つfortigate cookbook XD 05/14 16:48 12F

→ freeunixer 解決了.在位址物件那要建一個 lan ip range, 05/15 15:28 13F

→ freeunixer 到已建立的 VPN 隧道的網路裡在可訪問網路選擇 LAN, 05/15 15:30 14F

→ freeunixer 確認可訪問網路上的 split channel 有勾選,這樣就行了 05/15 15:30 15F

→ freeunixer 簡單說就是要讓 tunnel 知道這個連線可以去哪些地方, 05/15 15:42 16F

→ freeunixer 以外的流量它就會丟還給你自己. 05/15 15:42 17F

→ freeunixer 所以你應該可以定義允許轉發的位址,綁成一個 GROUP 05/15 15:43 18F

→ freeunixer 將它設到可訪問網段裡,這樣就能做到指定位址/網段轉發 05/15 15:44 19F

→ freeunixer 不過好像不能同時建兩個 tunnel,直接切有 sp 跟無 sp 05/15 18:28 20F

→ deadwood 理論上把你要的透過forti的公有IP加進要SP的物件群組 05/15 20:45 21F

→ deadwood 應該就可以做到了 05/15 20:45 22F

→ freeunixer 是,但因為 target 零散,我想建兩條獨立的 tunnel 省事 05/15 22:01 23F

→ freeunixer 但試了之後發現好像建了第二條,就會造成一條失效... 05/15 22:02 24F

→ freeunixer 後來我搞了一個 pptp channel 出來,我先來試試看, 05/16 14:05 25F

→ freeunixer 如果同間兩個以上連線沒問題,就 PPTP、IPSec 分著用吧 05/16 14:06 26F

→ deadwood 我記得可以用不同使用者群組對應到不同tunnel，可以試試 05/16 23:41 27F

→ freeunixer 我前兩天試了,沒辦法,設了第二條,就會錯亂... 05/17 10:57 28F

→ freeunixer 我問別人,回答是一個介面只能有一個 ipsec channel. 05/17 10:57 29F

→ freeunixer 現在要改試 tp mode,全得手動設,苦幹 Phase 2 中... 05/20 18:07 30F

→ freeunixer tp mode 的 client to side 該怎麼設... 05/20 18:26 31F

[請益] FortGate VPN Site-Side outgoing

留言

最新文章