各位前輩好,近期使用一台FortiGate 90E練習設定sslvpn,防火牆設定後,筆電無法連上sslvpn。
我仔細檢查用戶、VPN設定、政策,找不出有設定錯誤的痕跡。
我在管理介面上SSL-VPN有設定監聽埠號是10443,但懷疑沒有生效。
因為我輸入指令查詢確認時無顯示10443。
#diagnose sys tcpsock | grep 0.0.0.0
0.0.0.0:709->0.0.0.0:0->state=listen err=0 sockflag=0x1 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1000->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1001->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1002->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1003->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
0.0.0.0:1004->0.0.0.0:0->state=listen err=0 sockflag=0x8 rma=0 wma=0 fma=0 tma=0
...
我一共設定3台防火牆,僅一台發生此問題,設定畫面如下:
求助前輩指示問題原因、與設定方式或指令,感謝。
已邀請的邦友 {{ invite_list.length }}/5
樓主的監聽介面為何?
樓主的終端設定有正確嗎?
登入的帳密有一致嗎?
不能登入出現什麼畫面? %多少?
相關OS版本?
還有其他先進建議樓主PO出設定畫面
已補上設定截圖,謝謝mytiny。
FortiGate 90E:FortiOS v6.2.11 build1303 (GA)
使用FortiClient登入卡在10%,錯誤訊息如此篇問題,無錯誤代碼。
https://community.fortinet.com/t5/Fortinet-Forum/Forticlient-Error-Stop-at-10-unable-to-establish-the-vpn/m-p/94489
我懷疑是10443設定後沒確實產生
我一共設定3台,只有這台使用指令之後未列出10443
設定3台,2台成功,1台失敗
當然有可能是90E機器的緣故
不過也有可能是哪裡沒檢查到錯誤
在下建議如果懷疑10443沒生效
可以先用網頁登SSLVNN試試
用https://xx.xx.xx.xx:10443
如果啥都沒出來,那確實是沒響應
可以把機器formate重新做做(記得接consol)
如果登入畫面有出來,就是設定有錯
再仔細檢查檢查嘍!
政策的來源不應該是ALL+tt
應該是SSLVPN_ADDR + tt
或者還有其他問題? 先解決驚嘆號,SSLVPN政策不應該會有警告
外網連看看SSLVPN的URL
https://你的URL:10443
可開啟並登入tt就是正常的,除非有把該WAN介面的HTTP/S的存取關掉就會找不到
再來看Client為什麼找不到目標
你VIRTUAL IP上有沒設定 MIP / PORT FORWARD 而且有PORT口跟SSLVPN的10443有所衝突
如果有, MIP / PORT FORWARD 次序優先於 SSLVPN
另你可以把LAN口也放到SSLVPN設定中來確定你CONFIG正常
https://LanIP:10443 如果能開啟SSLVPN 登入頁, 那問題你大約都知道出在那了
iThome鐵人賽
看影片追技術