iT邦幫忙

0

SSLVPN通到另一個Site to Site的環境

  • 分享至 

  • xImage

各位前輩好,小弟目前在公司的環境設定下遇到一個難關

小弟的環境目前有一台PA的Firewall有設定Site to Site VPN到另一台Foritgate上的環境
這台PA上也有設定SSL VPN上
大致架構圖如下:
https://ithelp.ithome.com.tw/upload/images/20221114/20155000mxjwDDIuGH.jpg

目前的需求是使用PA的SSL VPN連入的User也能連到Fortigate的網段中的設備
小弟有在PA上的SSLVPN上設定存取路由可到172.16.1.0/24中
Policy也有設定SSLVPN → Site to Site VPN介面為allow
不過還是連不到172.16.1.0/24這段,Fortigate那邊

覺得Fortigate那邊也要設定Policy,不過實驗了一下還是沒什麼頭緒
肯請各位大大指點迷津~感謝

最近也有此需求可以參考這篇看看
https://blog.csdn.net/meigang2012/article/details/88015480
感謝您~已解決,看了您的說明後發現我Tunnel有少設定,非常感謝!!!
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
雷峰
iT邦研究生 1 級 ‧ 2022-11-14 13:31:24

您提的的部分跟雙向路由有關,您目前的路由只有單向:
Client User=>PA=>Foritgate=>要存取的Server(172.16.1.0/24)
少了反向:Server(172.16.1.0/24)往Client User的路由
不確定Client User連線VPN後取得的網段是什麼,假設Client User取得的網段是(192.168.30.X/24),那在Foritgate上就要設定路由。
另外Site to Site VPN的內部網段要記得兩邊都要允許Client User連線後VPN的網段。

看更多先前的回應...收起先前的回應...

雷大您好,目前我將Forti那端連回PA的Policy中也設定上PA VPN的網段,且靜態路由也設定PA VPN的網段,不過還是連不上,請問是我遺漏了什麼嗎? 感謝~

雷峰 iT邦研究生 1 級 ‧ 2022-11-15 18:56:57 檢舉

方便截圖兩邊追蹤路由的畫面嗎?
Client連上VPN後,往Server端的;
跟Client連上VPN後,Server往Client端的。
要查看斷在哪個點~

雷大您好抱歉因為前陣子較忙一時忘記回覆
目前問題已解決,因為我漏掉了在Tunnel中也要設定允許SSLVPN的IP對應Forti那端的IP,兩邊設定上去後已可以連線到Forti那端,感謝~

雷峰 iT邦研究生 1 級 ‧ 2022-12-05 12:14:23 檢舉

好的~

我要發表回答

立即登入回答