Назад | Перейти на главную страницу

Разрешить трафику от ssl-vpn входить в туннель ipsec на fortigate

мы настроили наш FortiGate 50B для маршрутизации трафика из нашей локальной сети 192.168.10. * (которая является нашим офисом) в удаленную сеть 172.29.112. * с использованием туннеля ipsec. Все работает нормально, пока у моего компьютера IP от 192.168.10. *.

Мы также можем подключиться к офисной сети из дома, используя соединение ssl vpn. После подключения мы получаем ip от 10.41.41. *.

Теперь я хочу разрешить поток трафика с 10.41.41. * На 172.29.112. *, Как это происходит в офисной сети.

Может ли кто-нибудь указать мне в правильном направлении, что мне нужно делать?

Спасибо, Саша

У меня была такая же ситуация, и я исправил ее, добавив политику из интерфейса SSL.vpn в интерфейс туннеля IPsec, а затем из интерфейса туннеля IPsec обратно в интерфейс SSL.vpn. Проблема в том, на каких интерфейсах разрешен трафик. Он не будет привязан к интерфейсу, который не определен в политике.

Я в твоей же ситуации.

Это то, что я пробовал, но не сработало (все IP-адреса являются примером и взяты из вашего вопроса):

NAT на виртуальный IP-адрес (192.168.10.200) весь трафик, исходящий от SSLVPN (10.41.41.) и переход на IPSEC (172.29.112.Таким образом, весь трафик SSLVPN транслируется на внутренний IP-адрес, который должен нормально проходить через туннель. Таким образом мы могли избежать изменения назначения IPSEC, но это не сработало.

Единственный способ - добавить на обеих сторонах IPSEC нашу сеть SSLVPN (10.41.41. *), Как сказал Алекс, чтобы весь трафик маршрутизировался нормально.

В вашем вопросе отсутствует некоторая информация.

В основном;

  1. Вы NAT-трафик внутри туннеля IPSEC?
  2. Вы также управляете одноранговым узлом на другом конце туннеля IPSEC?

Предполагая, что вы не используете NAT для трафика в туннеле IPSEC, это краткий контрольный список.

Добавьте подсеть 10.41.41.x в свой интересный трафик

Это будет означать, что подсеть 10.41.41.x, как ожидается, будет проходить через туннель IPSEC. Вы должны сделать это изменение конфигурации на обоих устройствах на каждом конце туннеля IPSEC. Если это не будет сделано должным образом, ваша VPN не сможет даже завершить Фазу 1 туннеля IPSEC.

Добавить маршруты

Убедитесь, что ваш SSL VPN отправляет клиентам правильный маршрут. Это означает, что у клиентов должен быть маршрут для 172.29.112.x при подключении к SSL VPN.

То же самое и в сети 172.29.112.x, она должна знать, куда направлять пакеты на 10.41.41.x.

В некоторых случаях, например, если оба одноранговых узла в IPSEC VPN также являются маршрутизаторами по умолчанию в своей соответствующей сети, он мощь не понадобиться.

Добавить политики

Я не эксперт Fortinet, но для большинства брандмауэров также требуется, чтобы вы явно разрешали трафик внутри туннеля VPN с помощью политик или списков контроля доступа. Это верно как для туннеля IPSEC, так и для подключения SSL VPN.


Как я уже сказал, это довольно расплывчатый ответ (т.е. это указатели), но, поскольку в вопросе не так много конкретики, это лучшее, что я могу придумать.

1 - Перейдите в Объекты брандмауэра> Адрес> Адреса> Создать новый.

Создайте подсеть 172.29.112.0/24 (введите Subnet, Interface Any и отметьте Show in Address list) с именем SubnetRemoteIPSEC

Создайте другую подсеть 10.41.41.0/24 (введите Subnet, Interface Any и отметьте Show in Address list) с именем SubnetClientSSL

2 - Перейдите в свою политику SSL VPN и добавьте SubnetRemoteIPSEC в локальную защищенную подсеть (у вас уже должна быть здесь офисная подсеть (192.168.10.0/24)).

3 - Добавить новую политику: Входящий интерфейс ssl.root

Исходный адрес SubnetClientSSL

Имя исходящего интерфейса вашего интерфейса VPN

Адрес назначения все

Расписание всегда

Сервис все

Действие Принять

Включить NAT

Используйте пул динамических IP-адресов и создайте пул (вы можете указать IP-локальную сеть вашего fortigate 192.168.10.254-192.168.10.254, предполагая, что 192.168.10.254 - ваш внутренний IP-адрес).

Теперь вы сможете получить доступ к своему VPN IPSEC через VPN SSL.