iT邦幫忙

0

Fortigate80C 可否設定VPN連入時使用者的路由

vit5015 2 年前1808 瀏覽

請問有沒有方法 能在fortigate上去設定連入VPN使用者的路由?
當使用者使用vpn連入公司時
我需要增加一筆路由 10.2.0.0 255.255.0.0 10.1.3.254 給使用者
因為有另外的廠區 廠區間透過遠傳VPN連接
VPN又有設定分割通道 變成VPN的使用者要連到另外一個廠區會是從自己的閘道出去

現在暫時的方法是做個bat檔 讓使用者連上vpn的時候 再把這筆路由加進去
有沒有方法能讓他連上就自動加入?

1 個回答

2
mytiny
iT邦高手 1 級 ‧ 2 年前
最佳解答

由於版大的描述不夠完整,或是小弟智商太低沒法拼湊完整架構
只能猜測版大使用了Fortigate的SSLVPN
同時在模式上勾選了Split-Tunneling
所以往未指定IP位址的流量就會由當地直接出網了
既然如此,為何不在FG裡直接加10.2.0.0這筆路由(政策路由亦可)
這樣只要是往該網段的流量,必定會由FG轉發路由

若是小弟未能理解狀況,還有以下幾種方式可嘗試

  1. 取消Split-Tunneling,則所有SSLVPN進入者均由FG決定路由
  2. 嘗試另新增一組SSLVPN Portal,由登入帳號決定使用網段,
    並且新Portal不採用Split-Tunneling模式
    這樣每次登入SSLVPN都因不同用途採用不同帳號

以上幾個參考方向供版大參考,
若有謬誤理解,還請版大包含

vit5015 iT邦新手 4 級 ‧ 2 年前 檢舉

對 是用了Split-Tunneling模式 抱歉描述的不夠清楚
static route裡有10.2.0.0這筆路由
可是用了Split-Tunneling模式 我連10.2.0.0的網段 不是也從本機預設閘道出去嗎?
我嘗試在政策路由去新增好像也是沒有效果
我試著補充架構
一廠網段:10.1.0.0 防火牆:10.1.1.254 10.1.3.254 遠傳vpn連接二廠:10.1.1.253

二廠網段:10.2.0.0 防火牆:10.2.2.254 遠傳vpn連接一廠:10.2.2.253

想要達到效果是 連一.二廠由公司的閘道出去 連外面的網路服務都由本機閘道出去

感謝mytiny大花時間回應

我要發表回答

立即登入回答