我们configuration了FortiGate 50B,将stream量从本地networking192.168.10。*(这是我们的办公室)路由到远程networking172.29.112。*使用ipsec隧道。 一切工作正常,只要我的电脑有从192.168.10。*的IP。
我们也可以使用ssl vpn连接从家里连接到办公室networking。 一旦连接,我们从10.41.41 *收到一个IP。
现在我想允许从10.41.41。*到172.29.112。*的stream量stream量,就像办公室networking一样。
有人能指出我需要做什么吗?
谢谢,Sascha
我处于同样的情况
这是我所尝试的,但没有工作(所有的知识产权都是一个例子,并从您的问题中采取):
NAT到虚拟IP(192.168.10.200)的所有stream量来自SSLVPN(10.41.41。 )并去IPSEC(172.29.112。 )所以所有的SSLVPNstream量正在被转换成一个内部IP应该通过隧道罚款。 通过这种方式,我们可以避免修改IPSEC目的地,但没有工作。
唯一的方法是在两个IPSEC端添加我们的SSLVPNnetworking(10.41.41。*),就像Alex说的那样,所有的stream量都可以正常路由
我也遇到了同样的情况,通过将SSL.vpn接口的策略添加到IPsec隧道接口,然后从IPsec隧道接口返回到SSL.vpn接口来解决这个问题。 问题是什么接口stream量是允许的。 它不会发夹到未在策略中定义的接口。
在你的问题中缺less一些信息。
大多;
假设您不在IPSEC隧道中NATstream量,这是一个快速清单。
将10.41.41.x子网添加到您感兴趣的stream量
这将表明10.41.41.x子网预计将在IPSEC隧道中传输。 您必须在IPSEC隧道两端的两个设备上更改configuration。 如果这样做不正确,你的VPN甚至不能完成IPSEC隧道的第一阶段。
添加路线
确保您的SSL VPN发送适当的路由到客户端。 这意味着当连接到SSL VPN时,客户端应该有一个172.29.112.x的路由。
在172.29.112.xnetworking上也是如此,它需要知道将数据包路由到10.41.41.x的位置。
在某些情况下,例如,如果IPSEC VPN上的两个对等端也是其各自networking上的默认路由器,则可能不需要。
添加策略
我不是Fortinet的专家,但大多数防火墙还要求您明确允许VPN通道内的通信使用策略或ACL。 对于IPSEC隧道和SSL VPN连接都是如此。
就像我说的那样,这是一个非常模糊的答案(即它们是指针),但是由于问题中没有太多的细节,所以这是我能想到的最好的答案。
1 – 进入防火墙对象>地址>地址>新build
创build名为SubnetRemoteIPSEC的子网172.29.112.0/24(键入Subnet,Interface Any并选中显示在地址列表中)
创build另一个子网10.41.41.0/24(键入子网,接口任何并选中显示在地址列表中)名为SubnetClientSSL
2 – 转到您的VPN SSL策略,并在本地保护子网中添加SubnetRemoteIPSEC(您应该已经在这里有你的办公室子网(192.168.10.0/24))。
3 – 添加新策略:传入接口ssl.root
源地址SubnetClientSSL
传出接口VPN接口的名称
目的地地址全部
总是安排
服务全部
行动接受
启用NAT
使用dynamicIP池和创build一个池(你可以把你的Fortigate 192.168.10.254-192.168.10.254的IP局域网假设192.168.10.254是你的内部IP)。
您现在将能够通过VPN SSL访问您的VPN IPSEC。