我们配置了 FortiGate 50B,使用 ipsec 隧道将流量从本地网络 192.168.10.*(即我们的办公室)路由到远程网络 172.29.112.*。只要我的计算机有 192.168.10.* 的 IP,一切就都正常。
我们还可以使用 SSL VPN 连接从家里连接到办公室网络。连接后,我们会收到来自 10.41.41.* 的 IP。
现在我想允许流量从 10.41.41.* 到 172.29.112.* ,就像从办公网络一样。
有人能指出我该怎么做吗?
谢谢,Sascha
答案1
我遇到过同样的情况,我通过将策略从 SSL.vpn 接口添加到 IPsec 隧道接口,然后从 IPsec 隧道接口返回到 SSL.vpn 接口来解决了这个问题。问题是哪些接口允许流量通过。它不会发夹到策略中未定义的接口。
答案2
我和你的情况一样。
这是我尝试过的但没有起作用的方法(所有 IP 都是示例,取自您的问题):
将来自 SSLVPN(10.41.41)的所有流量 NAT 到虚拟 IP(192.168.10.200)。) 并转到 IPSEC (172.29.112。) 因此,所有 SSLVPN 流量都被转换为内部 IP,该 IP 应该可以顺利通过隧道。通过这种方式,我们可以避免修改 IPSEC 目的地,但没有成功。
唯一的方法是在 IPSEC 两端添加我们的 SSLVPN 网络 (10.41.41.*),正如 Alex 所说,这样所有流量都可以正常路由
答案3
您的问题缺少一些信息。
大多;
- 您是否在 IPSEC 隧道内进行 NAT 流量
- 您是否还管理 IPSEC 隧道另一端的对等体
假设您没有对 IPSEC 隧道中的流量进行 NAT,这是一个快速检查清单。
将 10.41.41.x 子网添加到您的有趣流量
这表明 10.41.41.x 子网预计在 IPSEC 隧道中传输。您必须在 IPSEC 隧道两端的两台设备上进行该配置更改。如果操作不当,您的 VPN 甚至无法完成 IPSEC 隧道的第 1 阶段。
添加路线
确保您的 SSL VPN 向客户端发送正确的路由。这意味着客户端在连接到 SSL VPN 时应该有 172.29.112.x 的路由。
在 172.29.112.x 网络上也是如此,它需要知道将数据包路由到哪里到 10.41.41.x 。
在某些情况下,例如,如果 IPSEC VPN 上的两个对等体也是其各自网络上的默认路由器,则可能不需要。
添加策略
我不是 Fortinet 专家,但大多数防火墙还会要求您使用策略或 ACL 明确允许 VPN 隧道内的流量。对于 IPSEC 隧道和 SSL VPN 连接都是如此。
就像我说的,这是一个非常模糊的答案(即它们是指针),但由于问题中没有太多细节,所以我能想到的最好的答案。
答案4
1– 转到防火墙对象 > 地址 > 地址 > 新建
创建子网 172.29.112.0/24(键入子网、接口任意并选中在地址列表中显示),命名为 SubnetRemoteIPSEC
创建另一个子网 10.41.41.0/24(类型为 Subnet、Interface Any 并选中 Show in Address list),命名为 SubnetClientSSL
2– 转到您的 VPN SSL 策略并在本地受保护子网中添加 SubnetRemoteIPSEC(您应该已经在这里拥有您的办公室子网(192.168.10.0/24))。
3– 添加新策略:传入接口 ssl.root
源地址 SubnetClientSSL
传出接口 VPN 接口的名称
目的地地址全部
总是安排
服务全部
行动接受
启用 NAT
使用动态 IP 池并创建一个池(您可以将 fortigate 的 IP LAN 设置为 192.168.10.254-192.168.10.254,假设 192.168.10.254 是您的内部 IP)。
您现在可以通過 VPN SSL 访问您的 VPN IPSEC。