iT邦幫忙

0

Fortigate SSL VPN Settings

機型:Fortigate 60D
韌體版本:v6.0.9 build0335

請問一下各位,SSL-VPN Portals中的Source IP Pools與SSL VPN-Settings中的IP Ranges的差別嗎?
https://ithelp.ithome.com.tw/upload/images/20200630/20116882YNMjdGEuPA.png

https://ithelp.ithome.com.tw/upload/images/20200630/20116882cMsTC4vjQJ.png

2 個回答

0
mathewkl
iT邦新手 3 級 ‧ 2020-06-29 17:31:03

編輯:依據圖片將中文改為英文

Source IP Pool預設為SSLVPN_TUNNEL_ADDR1,可以變更
Automatically assign addresses使用Source IP Pool
Specify custom IP ranges就是可以指定多個其他IP範圍物件

SSLVPN連線後 > 若設定為Automatically assign addresses > 取得Soruce IP Pool的IP範圍
SSLVPN連線後 > 若設定為Specify custom IP ranges > 取得Specify custom IP ranges設定下的SSLVPN_TUNNEL_ADDR1和sslvpnaddress設定的IP範圍

給網管一個方便,不過沒必要就不需設這麼細切一堆IP範圍
以帳號分類在IPv4政策控制帳號使用人的內網存取權就好了

我有提供截圖,可以麻煩再幫我看一下嗎?不太懂您的說法!

hsiang11 iT邦好手 1 級 ‧ 2020-07-01 02:01:56 檢舉

忘了很多 不過跟
mathewkl大說的應該差不多
預設走的是SSLVPN_TUNNEL_ADDR1 自動模式下都會統一到這
但是forti可以做到更細微的通道切割
讓使用者連上時可以取得下圖設定的ip ranges

mathewkl iT邦新手 3 級 ‧ 2020-07-02 15:41:48 檢舉

已依據圖片修改內文

1
mytiny
iT邦大師 1 級 ‧ 2020-06-30 00:03:53

樓主有機會應留一下設備型號及使用的OS版本

在設定上,使用sslvpn是要產生另一個介面
Fortigate很習慣於用介面來做資安的分類與管理
因此登入頁面的方式(tunnel,web)決定了介面
有了介面就自然需要一個網段,就是Source Ip pool
以便之後的陸由與網路通訊
此時,它是屬於IP Address

接著,登入後會給個身分,它會需要IP
這時就是使用IP Range來做DHCP的發放
要會通,IP Range就應該在Source Ip pool的範圍內

以上是針對OS 6.0,在下對其SSLVPN設定的理解
不知是否能讓樓主明白設定觀念
歡迎各位先進及樓主予以指教

請問一下,
1.那這樣我如果使用Fortigate Client連線,被分配到的IP是以哪一個位址為主呢?

P.S.因為我之前設定他都會以SSL-VPN Portals裡的Source IP Pools去分配位址

mytiny iT邦大師 1 級 ‧ 2020-06-30 22:44:37 檢舉

為避免GUI的混淆
在下用CLI指令仔細清查(OS 6.0.9)
果然在 SSL-VPN 的使用中並沒有用到DHCP
分配IP的工作是
set ip-pools "SSLVPN_TUNNEL_ADDR1"
應該是以Portal中的Source IP Pool為依據

我要發表回答

立即登入回答