允许来自 ssl-vpn 的流量进入 fortigate 上的 ipsec 隧道

允许来自 ssl-vpn 的流量进入 fortigate 上的 ipsec 隧道

我们配置了 FortiGate 50B,使用 ipsec 隧道将流量从本地网络 192.168.10.*(即我们的办公室)路由到远程网络 172.29.112.*。只要我的计算机有 192.168.10.* 的 IP,一切就都正常。

我们还可以使用 SSL VPN 连接从家里连接到办公室网络。连接后,我们会收到来自 10.41.41.* 的 IP。

现在我想允许流量从 10.41.41.* 到 172.29.112.* ,就像从办公网络一样。

有人能指出我该怎么做吗?

谢谢,Sascha

答案1

我遇到过同样的情况,我通过将策略从 SSL.vpn 接口添加到 IPsec 隧道接口,然后从 IPsec 隧道接口返回到 SSL.vpn 接口来解决了这个问题。问题是哪些接口允许流量通过。它不会发夹到策略中未定义的接口。

答案2

我和你的情况一样。

这是我尝试过的但没有起作用的方法(所有 IP 都是示例,取自您的问题):

将来自 SSLVPN(10.41.41)的所有流量 NAT 到虚拟 IP(192.168.10.200)。) 并转到 IPSEC (172.29.112。) 因此,所有 SSLVPN 流量都被转换为内部 IP,该 IP 应该可以顺利通过隧道。通过这种方式,我们可以避免修改 IPSEC 目的地,但没有成功。

唯一的方法是在 IPSEC 两端添加我们的 SSLVPN 网络 (10.41.41.*),正如 Alex 所说,这样所有流量都可以正常路由

答案3

您的问题缺少一些信息。

大多;

  1. 您是否在 IPSEC 隧道内进行 NAT 流量
  2. 您是否还管理 IPSEC 隧道另一端的对等体

假设您没有对 IPSEC 隧道中的流量进行 NAT,这是一个快速检查清单。

将 10.41.41.x 子网添加到您的有趣流量

这表明 10.41.41.x 子网预计在 IPSEC 隧道中传输。您必须在 IPSEC 隧道两端的两台设备上进行该配置更改。如果操作不当,您的 VPN 甚至无法完成 IPSEC 隧道的第 1 阶段。

添加路线

确保您的 SSL VPN 向客户端发送正确的路由。这意味着客户端在连接到 SSL VPN 时应该有 172.29.112.x 的路由。

在 172.29.112.x 网络上也是如此,它需要知道将数据包路由到哪里到 10.41.41.x 。

在某些情况下,例如,如果 IPSEC VPN 上的两个对等体也是其各自网络上的默认路由器,则可能不需要。

添加策略

我不是 Fortinet 专家,但大多数防火墙还会要求您使用策略或 ACL 明确允许 VPN 隧道内的流量。对于 IPSEC 隧道和 SSL VPN 连接都是如此。


就像我说的,这是一个非常模糊的答案(即它们是指针),但由于问题中没有太多细节,所以我能想到的最好的答案。

答案4

1– 转到防火墙对象 > 地址 > 地址 > 新建

创建子网 172.29.112.0/24(键入子网、接口任意并选中在地址列表中显示),命名为 SubnetRemoteIPSEC

创建另一个子网 10.41.41.0/24(类型为 Subnet、Interface Any 并选中 Show in Address list),命名为 SubnetClientSSL

2– 转到您的 VPN SSL 策略并在本地受保护子网中添加 SubnetRemoteIPSEC(您应该已经在这里拥有您的办公室子网(192.168.10.0/24))。

3– 添加新策略:传入接口 ssl.root

源地址 SubnetClientSSL

传出接口 VPN 接口的名称

目的地地址全部

总是安排

服务全部

行动接受

启用 NAT

使用动态 IP 池并创建一个池(您可以将 fortigate 的 IP LAN 设置为 192.168.10.254-192.168.10.254,假设 192.168.10.254 是您的内部 IP)。

您现在可以通過 VPN SSL 访问您的 VPN IPSEC。

相关内容