iT邦幫忙

0

100D連線設定.. VPN連線後無法連自家對外IP??

想請教大神們
我現有6個固定IP
vpn後我telnet其中一個固I的對外服務port都無法連進去
但是vpn時可以正常上外網也可以正常使用內網
不連vpn時我也都可以連到固I的port,都有正常轉發
請問有哪邊需要再設定...感覺是vpn後還要再設定轉發??

"感覺是vpn後還要再設定轉發" => YES,VPN之後 GW 會把 0.0.0.0 轉到 VPN 出去
所以,你內部固I如果是另外一台機器還好,如果是同一台,那就要設路由轉回來
0
echochio
iT邦高手 1 級 ‧ 2021-05-25 11:07:36
最佳解答

知道有幾個方式您試試

  1. 是自己NAT 訪問自己的 IP 區段問題,當然設定 Loopback可解, 當連 forti VPN 後 你就像是 在forti 下的一個 NAT 的 IP 要去設定 -> forti 訪問自己的 對外IP

  2. forti 也可設定可只有連forti 內部 IP 才走 VPN 其他上網走原有的出口IP... google 一下 關鍵字 : forti 允許通道分割

  3. 您的PC 可以設定路由 當找特定 IP 時走特定路由...不走VPN

ken040714 iT邦新手 5 級 ‧ 2021-05-25 21:25:08 檢舉

感謝提點!!
忘了還有通道分割可以使用!!!
先讓user在家上班可以收mail,NAT Loopback有時間再研究看看

2
raytracy
iT邦大神 1 級 ‧ 2021-05-25 09:35:42
ken040714 iT邦新手 5 級 ‧ 2021-05-25 10:34:43 檢舉

不太懂操作
現在是
sslvpn隧道介面 (ssl.root) →lan 全開 也有NAT
sslvpn隧道介面 (ssl.root) → (wan1) 全開 也有NAT
lan →sslvpn隧道介面 (ssl.root) 全開 也有NAT
還需要什麼@@?

0
bluegrass
iT邦高手 1 級 ‧ 2021-05-25 12:50:05

你不應該用WAN IP ACCESS LAN在SSLVPN之後

如果非得要這樣, 你就得把VPN先改成ALL TUNNEL MODE,

即是SPLIT TUNNEL後的ROUTING ADDRESS是0.0.0.0/0

0
mytiny
iT邦大師 1 級 ‧ 2021-05-25 16:13:42

建議樓主可以將網路架構說得更清楚一點
同時說明相關的OS版本、VPN的種類、SSLVPN的方式
不然就要靠猜的來推敲,這樣很難

以下是在下的推敲
如果使用的是SSLVPN,
會產生另一個介面ssl.root
且會分配新的網段位置
此時如果sslVPN的方式用了split tunnel
如果沒有做ssl.root到wan1的政策
應該會連不到wan1的IP
如果做了ssl.root到wan1的政策
那麼又有可能與client造成路徑loop的可能
所以這些都是在於路由路徑的觀念
而且所有NAT的設定除上internet之外應大可不必
以免無法判斷來源狀況

我要發表回答

立即登入回答