iT邦幫忙

0

fortigate VPN後,再指定VPN可前往公司限制的外網

小弟公司有前往TSMC網站限制設定,目前是internal進入,走wan2前往TSMC網站,有位代理商,需要用VPN進來公司,然後要讓他能走wan2前往TSMC網站,該怎麼設定

tonikukoc iT邦新手 5 級 ‧ 2019-08-05 13:37:57 檢舉
不知道你的防火牆是可以指定IP給特定VPN帳號
如果可以就管制條例設定來源是指定的IP,出口就走WAN2
然後注意一下所有條例的優先權,這樣應該就可以了

2 個回答

2
bluegrass
iT邦高手 1 級 ‧ 2019-08-05 14:28:25
最佳解答

SSLVPN設定->建立新的FULL-ACCESS PROFILE->停用SPLIT TUNNEL

SDWAN RULE設定: SRC: NEW SSLVPN NETWORK, DST:TSMC, OUTGOING INTERFACE: WAN2

FIREWALL POLICY: SRC: NEW SSLVPN NETWORK + SSL USER, DST:TSMC, NAT:YES, ACTION ALLOW

Command line:
config firewall policy
edit "X" [X就是剛建立好的POLICY的ID]
set tcp-mss-sender 1240
set tcp-mss-receiver 1240
end

zyman2008 iT邦大師 7 級 ‧ 2019-08-05 14:34:26 檢舉

走 SSL VPN, mss要調這麼小 ?

bluegrass iT邦高手 1 級 ‧ 2019-08-05 14:46:05 檢舉

如果我沒理解錯

SSL VPN->IPSEC VPN->HOST

要調的

自己注記一下, tcp payload要調到這麼小.

0
mytiny
iT邦大師 1 級 ‧ 2019-08-05 18:06:36

樓主真的是很可愛
又不說用的是哪版OS
也不說原來wan2走去台積電是怎麼個搞法
就連VPN都沒說是怎樣個VPN
是不是考倒了原來的SI所以才跑來這裡

bluegrass大大給的是SD-WAN的解法
要OS6.0以上才能用(目前會用的人也不多)
如果樓主目前用的是政策路由
由哪進來的有啥關係
安全用防火牆政策限制住就好了
出去交給政策路由搞,跟現在的用法一樣
不然發個FortiAP給代理商
Wan1進Wan2出,一點都不會沾到internal
(哈internal,莫非用的是FG-100D)

bluegrass iT邦高手 1 級 ‧ 2019-08-06 12:03:24 檢舉

更大機會是沒有SI在保養而自己又是一知半解

我要發表回答

立即登入回答