fortigate VPN後，再指定VPN可前往公司限制的外網

fortigate

nlpss70265 2019-08-05 12:27:57 ‧ 2406 瀏覽

分享至

小弟公司有前往TSMC網站限制設定，目前是internal進入，走wan2前往TSMC網站，有位代理商，需要用VPN進來公司，然後要讓他能走wan2前往TSMC網站，該怎麼設定

tonikukoc iT邦新手 4 級 ‧ 2019-08-05 13:37:57 檢舉

不知道你的防火牆是可以指定IP給特定VPN帳號
如果可以就管制條例設定來源是指定的IP，出口就走WAN2
然後注意一下所有條例的優先權，這樣應該就可以了

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

2 個回答

bluegrass

iT邦高手 1 級 ‧ 2019-08-05 14:28:25

最佳解答

SSLVPN設定->建立新的FULL-ACCESS PROFILE->停用SPLIT TUNNEL

SDWAN RULE設定: SRC: NEW SSLVPN NETWORK, DST:TSMC, OUTGOING INTERFACE: WAN2

FIREWALL POLICY: SRC: NEW SSLVPN NETWORK + SSL USER, DST:TSMC, NAT:YES, ACTION ALLOW

Command line:
config firewall policy
edit "X" [X就是剛建立好的POLICY的ID]
set tcp-mss-sender 1240
set tcp-mss-receiver 1240
end

回應 3
分享
檢舉

zyman2008 iT邦大師 6 級 ‧ 2019-08-05 14:34:26 檢舉

走 SSL VPN, mss要調這麼小 ?

bluegrass iT邦高手 1 級 ‧ 2019-08-05 14:46:05 檢舉

如果我沒理解錯

SSL VPN->IPSEC VPN->HOST

要調的

michaelwan iT邦高手 1 級 ‧ 2019-08-05 15:14:45 檢舉

自己注記一下, tcp payload要調到這麼小.

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2019-08-05 18:06:36

樓主真的是很可愛
又不說用的是哪版OS
也不說原來wan2走去台積電是怎麼個搞法
就連VPN都沒說是怎樣個VPN
是不是考倒了原來的SI所以才跑來這裡

bluegrass大大給的是SD-WAN的解法
要OS6.0以上才能用(目前會用的人也不多)
如果樓主目前用的是政策路由
由哪進來的有啥關係
安全用防火牆政策限制住就好了
出去交給政策路由搞，跟現在的用法一樣
不然發個FortiAP給代理商
Wan1進Wan2出，一點都不會沾到internal
(哈internal，莫非用的是FG-100D)