各位大大
小弟公司有一个Web-bsae的系统,限制只能由办公室的IP才能前往,因为想同事在紧急时候,在办公室外也能前往该系统,故我尝试架设Fortigate的SSLVPN,让同事可以由远端接驳到办公室,再使用这个系统。(FortiClent + Tunnel Mode + FortiToken)
架设SSLVPN后测试,我可以连接到办公室,但是我不能连接到那Web-bsae的系统,我检查我的上网IP,仍然是Local的IP,不是办公室的IP。
请问我是不是要在Firewall内再加Routing,还是SSLVPN设定问题或不支援这模式,要转为IPSec+L2TP呢?
谢谢
6 个回答
- 旧至新
- 新至旧
- 最高Like数
0
ming9900
iT邦新手 3 级 ‧ 2024-09-16 11:11:37
你SSLVPN 应该有发放另一个 SSLVPN 用的 IP 网段,Fortigate 预设是 10.90.90.X 这段。
所以,如果你是在 Web 服务有锁定来源,那 SSLVPN 这一个IP,当然就连不到 Web.你要把SSLVPN的网段,加到可以连线到 Web 上。
你可以试一下连到 Web 同一段的其他 IP,可否正常连线(比如Ping、RDP等服务)
另一种变型的解法,是你可以把 SSLVPN ->LAN ,勾选NAT,让 SSLVPN 连回公司,IP被改为 Fortigate 的LAN IP.
这样是用"骗"的方式,让SSLVPN 连到Web(因为SSLVPN来源IP被换成FW LAN IP)
以上说明,是基于SSLVPN&Policy 的设定都正确的状况下,如果 Policy 或Routing 上,有其他设定,就要视你环境来修改。
1
stgtv32100
iT邦新手 4 级 ‧ 2024-09-16 14:39:52
FortiClient 会在电脑上建立一张新网卡,要看这个才是你拿到的VPN IP
VPN IP 是在SSLVPN设定中指定
您可以在"日誌与报表"中的"转发流量"中过滤 VPN IP Range来查询VPN User的使用纪录。
看看有没有连线失败或者是拒绝(Policy问题)的Log
0
mytiny
iT邦超人 1 级 ‧ 2024-09-16 17:20:15
楼主问题主要出现在观念上
对于ssl.root的掌握还不够
最好寻求SI协助
提问中因为相当多的不清楚
比如说OS的版本
SSLVPN的设定
政策的设定
均付之阙如
这样真的不好帮忙
顺带一提
通常设sslvpn很少会遇到要设路由
因为它是介面相通
1
royhutw
iT邦新手 2 级 ‧ 2024-09-17 10:14:57
请参阅台湾官方教学影片
https://www.youtube.com/watch?v=TbSOw30MrqA
0
sam0407
iT邦大师 1 级 ‧ 2024-09-18 09:50:43
首先您要确认一下您们公司内部的Web-bsae的系统,是怎么限制只有公司的IP可以连入。
是透过Firewall来作?还是透过IIS/Apache等架站软体来作?
若是在架站软体作限制,您必须要增加防火墙派发的SSLVPN网段。
若是在防火墙作限制,您则需要检查VPN设定及存取Web-bsae系统的相关Policy。
0
bluegrass
iT邦高手 1 级 ‧ 2024-09-19 12:53:40
FortiClent + Tunnel Mode + FortiToken
Tunnel Mode 要改成用FULL ACCESS的
FULL ACCESS 的Split Tunneling要停用
最后FIREWALL POLICY,
Source:SSL
Destination:WAN+LAN
Service: Any 吧, 不管你死活了
Action: NAT + ALLOW