各位大大
小弟公司有一個Web-bsae的系統,限制只能由辦公室的IP才能前往,因為想同事在緊急時候,在辦公室外也能前往該系統,故我嘗試架設Fortigate的SSLVPN,讓同事可以由遠端接駁到辦公室,再使用這個系統。(FortiClent + Tunnel Mode + FortiToken)
架設SSLVPN後測試,我可以連接到辦公室,但是我不能連接到那Web-bsae的系統,我檢查我的上網IP,仍然是Local的IP,不是辦公室的IP。
請問我是不是要在Firewall內再加Routing,還是SSLVPN設定問題或不支援這模式,要轉為IPSec+L2TP呢?
謝謝
已邀請的邦友 {{ invite_list.length }}/5
你SSLVPN 應該有發放另一個 SSLVPN 用的 IP 網段,Fortigate 預設是 10.90.90.X 這段。
所以,如果你是在 Web 服務有鎖定來源,那 SSLVPN 這一個IP,當然就連不到 Web.你要把SSLVPN的網段,加到可以連線到 Web 上。
你可以試一下連到 Web 同一段的其他 IP,可否正常連線(比如Ping、RDP等服務)
另一種變型的解法,是你可以把 SSLVPN ->LAN ,勾選NAT,讓 SSLVPN 連回公司,IP被改為 Fortigate 的LAN IP.
這樣是用"騙"的方式,讓SSLVPN 連到Web(因為SSLVPN來源IP被換成FW LAN IP)
以上說明,是基於SSLVPN&Policy 的設定都正確的狀況下,如果 Policy 或Routing 上,有其他設定,就要視你環境來修改。
FortiClient 會在電腦上建立一張新網卡,要看這個才是你拿到的VPN IP
VPN IP 是在SSLVPN設定中指定
您可以在"日誌與報表"中的"轉發流量"中過濾 VPN IP Range來查詢VPN User的使用紀錄。
看看有沒有連線失敗或者是拒絕(Policy問題)的Log
樓主問題主要出現在觀念上
對於ssl.root的掌握還不夠
最好尋求SI協助
提問中因為相當多的不清楚
比如說OS的版本
SSLVPN的設定
政策的設定
均付之闕如
這樣真的不好幫忙
順帶一提
通常設sslvpn很少會遇到要設路由
因為它是介面相通
iThome鐵人賽
看影片追技術