前輩們好,想請問Fortigate SSL VPN問題,網路架構如下
WIFI的部分發兩組SSID
1.STAFF(10.10.0.X)
2.GUEST(192.168.101.X)
USG 100設定192.168.101.X禁止連到總公司網段(192.168.1.X)
FORTI 60D SSL VPN已經設定好 在外部網路都可正常使用
但目前遇到一個狀況是員工想使用自己的筆電連線GUEST後再使用VPN來存取總公司的服務
登入VPN的時候就出現無法連線(unable to establish the vpn connection. the vpn server may be unreachable) 但用自己的手機分享就可以
想詢問是不是因為原本規則就設定禁止Guest網段連到總公司網段的問題呢?
如果是的話,不知道有沒有什麼辦法能解決呢?
已邀請的邦友 {{ invite_list.length }}/5
你這圖什麼網段都沒標
也不知wifi是從哪裡發?走什麼架構?
大概只有你自己知道你在說什麼
登入VPN的時候就出現無法連線(unable to establish the vpn connection. the vpn server may be unreachable) 但用自己的手機分享就可以
請問手機分享是4G上網嗎?
如果是,就當然可以因為就是在外網
前輩好,手機是4G沒錯
(192.168.1.X)這個網段是右上角和總公司連線的遠傳IP VPN
STAFF(10.10.0.X)是Bridge Mode 這個網段是由FG60D派的
GUEST(192.168.101.X)是Tunnel Mode 這個網段Zyxel USG100派的
還需要什麼資訊我再補上
先說明看法,我也是不建議GUEST連VPN進公司
因為GUEST用途本就是訪客用
相對權限及安全管理都少
如果員工想用無線連進公司主機
何不Tunnel再建一個SSID管制來源用戶
然後讓有權限的人連到公司主機呢
或者買台FortiAP,直接穿透連入FG-60D
至於網路上的解法
其實只要在FG-60D上聽SSLVPN設定多一個介面
只要GUEST能連到那個介面IP
SSLVPN就可以連通,之後就沒啥不同了
建議您找個懂技術的SI
那台FG-60D早該換新了
有試過用同台fortinet防火牆上發的WIFI連同台防火牆上的VPN,是可以連接的.
當初不能的情況似乎是因為政策上的security profile的關係,但沒仔細探察是哪個選項導致.
但能用staff其實真的不用特地繞一圈連.
iThome鐵人賽
看影片追技術