SSLVPN通到另一個Site to Site的環境

firewall ssl vpn ipsec vpn

yuki770720 2022-11-14 11:31:08 ‧ 1297 瀏覽

分享至

各位前輩好，小弟目前在公司的環境設定下遇到一個難關

小弟的環境目前有一台PA的Firewall有設定Site to Site VPN到另一台Foritgate上的環境
這台PA上也有設定SSL VPN上
大致架構圖如下：

目前的需求是使用PA的SSL VPN連入的User也能連到Fortigate的網段中的設備
小弟有在PA上的SSLVPN上設定存取路由可到172.16.1.0/24中
Policy也有設定SSLVPN → Site to Site VPN介面為allow
不過還是連不到172.16.1.0/24這段，Fortigate那邊

覺得Fortigate那邊也要設定Policy，不過實驗了一下還是沒什麼頭緒
肯請各位大大指點迷津~感謝

iverson3213302 iT邦新手 5 級 ‧ 2022-11-15 08:17:20 檢舉

最近也有此需求可以參考這篇看看
https://blog.csdn.net/meigang2012/article/details/88015480

yuki770720 iT邦新手 5 級 ‧ 2022-12-05 11:43:37 檢舉

感謝您~已解決，看了您的說明後發現我Tunnel有少設定，非常感謝!!!

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

雷峰

iT邦研究生 1 級 ‧ 2022-11-14 13:31:24

您提的的部分跟雙向路由有關，您目前的路由只有單向：
Client User=>PA=>Foritgate=>要存取的Server(172.16.1.0/24)
少了反向：Server(172.16.1.0/24)往Client User的路由
不確定Client User連線VPN後取得的網段是什麼，假設Client User取得的網段是(192.168.30.X/24)，那在Foritgate上就要設定路由。
另外Site to Site VPN的內部網段要記得兩邊都要允許Client User連線後VPN的網段。

回應 4
分享
檢舉

看更多先前的回應...收起先前的回應...

yuki770720 iT邦新手 5 級 ‧ 2022-11-14 15:07:10 檢舉

雷大您好，目前我將Forti那端連回PA的Policy中也設定上PA VPN的網段，且靜態路由也設定PA VPN的網段，不過還是連不上，請問是我遺漏了什麼嗎? 感謝~

雷峰 iT邦研究生 1 級 ‧ 2022-11-15 18:56:57 檢舉

方便截圖兩邊追蹤路由的畫面嗎？
Client連上VPN後，往Server端的；
跟Client連上VPN後，Server往Client端的。
要查看斷在哪個點～

yuki770720 iT邦新手 5 級 ‧ 2022-12-05 11:18:32 檢舉

雷大您好抱歉因為前陣子較忙一時忘記回覆
目前問題已解決，因為我漏掉了在Tunnel中也要設定允許SSLVPN的IP對應Forti那端的IP，兩邊設定上去後已可以連線到Forti那端，感謝~

雷峰 iT邦研究生 1 級 ‧ 2022-12-05 12:14:23 檢舉

好的～

登入發表回應

我要發表回答

立即登入回答

參賽組數

1064 組

團體組數

40 組

累計文章數

22199 篇

完賽人數

602 人

15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js

IT邦幫忙