小弟目前遇到一個棘手SSL-VPN相關的問題
請求版上的高手
環境:
總公司->Fortigate 60E防火牆
分公司->Fortigate 60E防火牆
總公司與分公司用Fortigate的Site to Site VPN連接。
由於目前Fortigate給免費的Client數只有10U
想說也在分公司的防火牆上開啟SSL VPN,
讓員工可以從分公司的SSL VPN進入,再連入總公司,
設定後,分公司SSL VPN可以正常連線,
連入分公司內的任何機器都沒問題!!
但要連入總公司的機器,就完全不能連@@
不知道是還有其他的設定沒有設定呢!?
還是在實際架構上是有問題的!?
請求大大可以幫忙!!
謝謝
先提醒樓主一下對於client授權的錯誤認知
眾所周知,Fortigate對於SSL VPN的使用
並沒有授權數量上的限制
至於Forticlient,更是可以免費下載
在武漢肺炎疫情爆發時
不失為SSL VPN使用的好方法
至於樓主所說免費只有10U
是指將forticlient當做終端管理的常駐程式
且同時由FortiGate機器做控管
目前非常少有見客戶使用
況且現在多半會改用FortiClient EMS
至於SSL VPN進入分公司,再連入總公司
正如jeremy168大大所言,並不是一個好方法
簡單說sslvpnroot只是一個介面,並沒有提供閘道
因此由介面進入系統後
由於fortigate的介面間彼此不需路由
只要做防火牆政策就好
但現在要跨越兩地的防火牆
自然網段不同,兩地都要設路由,不能只管分公司
如果樓主真的不熟相關設定
請務必找原來銷售廠商請他提供技術服務
一方面這是公司應該有的權利
另方面也是驗證那些廠商只是在低價銷售產品
最終受損的還是終端用戶
我不太清楚你為何要透過ssl分公司目地?
但可提供你方向
你目前看來vpn兩條因該建立上連線沒問題
請檢查下列東西
1.兩邊防火牆政策是否開放
2.從ssl vpn 到份公司,從公司到總公司所有路由要能抵達。
Vpn建立是算獨立一條線路和網段,所以在路由表上要有去有回的路由,其次就是防火牆是否有阻擋囉。
看起來需求是這樣
(1.)用SSLVPN到A公司 在透過(2.)Site to Site VPN讓兩台防火牆可以(3.)"靜態路由設定"找到B公司網段
分幾個階段說明和檢查:
(1.)的部份是可以設定該SSLVPN進來後"帳號"可以去的網段 (檢查一下Policy是不是沒有指定到SSL_User到A公司LAN是通的,沒這條要加上,B公司設定反之)
(2.)Site to Site VPN有精靈引導模式如果參數都對"Policy"設備會自動幫你加上(A公司Policy進出B公司會共有兩條Policy"B進A"跟"A出B",B公司設定反之)
(3.)Site to Site VPN有精靈引導模式如果參數都對"靜態路由設定"設備會自動幫你加上(A公司網段導進出B公司會共有兩條"A出B"跟A到介面"黑洞",B公司設定反之)(介面黑洞那條不設某些設備也能正常連線)
應該只有這些依序檢查完,應可正常連線
今天也遇到這個問題,剛好Google到官方食譜有教學,我順便貼出來https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/45836/ssl-vpn-to-ipsec-vpn
想搭一下文順便問一下
如果SSL VPN關掉NAT請問這樣是否會影響VPN連線到內網的功能?
是否是因為SSL VPN可以直接穿透FW,而IPSec要開NAT才能