100D連線設定.. VPN連線後無法連自家對外IP??

vpn ssl vpn 網路防火牆 fortigate100d

ken040714 2021-05-25 09:20:58 ‧ 2726 瀏覽

分享至

想請教大神們
我現有6個固定IP
vpn後我telnet其中一個固I的對外服務port都無法連進去
但是vpn時可以正常上外網也可以正常使用內網
不連vpn時我也都可以連到固I的port,都有正常轉發
請問有哪邊需要再設定...感覺是vpn後還要再設定轉發??

窮嘶發發發 iT邦高手 1 級 ‧ 2021-05-25 09:38:37 檢舉

"感覺是vpn後還要再設定轉發" => YES，VPN之後 GW 會把 0.0.0.0 轉到 VPN 出去
所以，你內部固I如果是另外一台機器還好，如果是同一台，那就要設路由轉回來

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

4 個回答

echochio

iT邦高手 1 級 ‧ 2021-05-25 11:07:36

最佳解答

知道有幾個方式您試試

是自己NAT 訪問自己的 IP 區段問題，當然設定　Loopback可解, 當連 forti VPN 後你就像是在forti 下的一個 NAT 的 IP 要去設定 -> forti 訪問自己的對外IP
forti 也可設定可只有連forti 內部 IP 才走 VPN 其他上網走原有的出口IP... google 一下關鍵字 : forti 允許通道分割
您的PC 可以設定路由當找特定 IP 時走特定路由...不走VPN

回應 1
分享
檢舉

ken040714 iT邦新手 5 級 ‧ 2021-05-25 21:25:08 檢舉

感謝提點!!
忘了還有通道分割可以使用!!!
先讓user在家上班可以收mail,NAT Loopback有時間再研究看看

登入發表回應

Ray

iT邦大神 1 級 ‧ 2021-05-25 09:35:42

你沒開 NAT Loopback:

https://ithelp.ithome.com.tw/questions/10147609

https://ithelp.ithome.com.tw/questions/10193312

回應 1
分享
檢舉

ken040714 iT邦新手 5 級 ‧ 2021-05-25 10:34:43 檢舉

不太懂操作
現在是
sslvpn隧道介面 (ssl.root) →lan 全開也有NAT
sslvpn隧道介面 (ssl.root) → (wan1) 全開也有NAT
lan →sslvpn隧道介面 (ssl.root) 全開也有NAT
還需要什麼@@?

登入發表回應

bluegrass

iT邦高手 1 級 ‧ 2021-05-25 12:50:05

你不應該用WAN IP ACCESS LAN在SSLVPN之後

如果非得要這樣, 你就得把VPN先改成ALL TUNNEL MODE,

即是SPLIT TUNNEL後的ROUTING ADDRESS是0.0.0.0/0

回應
分享
檢舉

登入發表回應

mytiny

iT邦超人 1 級 ‧ 2021-05-25 16:13:42

建議樓主可以將網路架構說得更清楚一點
同時說明相關的OS版本、VPN的種類、SSLVPN的方式
不然就要靠猜的來推敲，這樣很難

以下是在下的推敲
如果使用的是SSLVPN，
會產生另一個介面ssl.root
且會分配新的網段位置
此時如果sslVPN的方式用了split tunnel
如果沒有做ssl.root到wan1的政策
應該會連不到wan1的IP
如果做了ssl.root到wan1的政策
那麼又有可能與client造成路徑loop的可能
所以這些都是在於路由路徑的觀念
而且所有NAT的設定除上internet之外應大可不必
以免無法判斷來源狀況