作者chabaterii09 (小豆子)
看板MIS
标题[Case] VPN连线问题
时间Fri Apr 19 21:11:22 2019
[硬体资讯]
中华电信1固 网路
fortinet 60E防火墙
[问题描述]
vpn设定完成
内部的两个网段都可以使用forticlient连线成功
但是无法透过对外的固定IP从外部连线使用
[已尝试过的方法]
1.使用中华电信的port forward指定到forti的ip
2.改由web vpn可以用对外ip看到页面,但是http或是https指定port却无法到forti vpn
3.尝试使用php转址到forti的ip
[其他线索]
网路的接线方式是
中华电信接到小乌龟上
小乌龟给一台主机对外ip
剩下都用小乌龟配发a网段
小乌龟留一个port接给forti
forti配发b网段
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 123.194.169.131
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1555679487.A.57A.html
1F:→ fonzae: policy有设?04/19 21:20
有
可以从内部成功使用vpn帐号登入
2F:→ kugga: 内对内的网段为什麽要用vpn?04/19 22:37
3F:推 wantsleep: 内对内用VPN做什麽?04/19 23:22
我是看过影片之後根据影片教学做的
不过policy是先开放all等测通再慢慢限缩
但是一直没办法从外网连进内网
所以才试试看全通的policy是否真的有vpn的连线功能
因此才有那句 内部使用是有成功的
我并无内部使用vpn的需求
希望版上大大们不要误会
如果有办法从内部的任一网段
透过forti的内部ip使用vpn功能的话
我其实推测是小乌龟port forward到forti ip这段没有成功
只是我不太熟悉这段我该怎麽验证他是否真的能够做到
当我透过web输入https://外部IP:port 可以转到 我内部的
https://forti IP:port的功
能
4F:推 yamaraja: 一般我们都会把443 port 留给透过https 连入fortigate用04/20 09:59
5F:→ yamaraja: 也就是您透过https搭配外部ip 进入管理介面用的04/20 10:00
6F:→ yamaraja: sslvpn 我们会改用10443 port来区隔 04/20 10:00
7F:→ yamaraja: 但通常系统的预设sslvpn port 也是443, 所以要改04/20 10:04
8F:→ Wishmaster: 看起来没上线阿,直接拿笔电对接外线port测04/20 10:44
9F:→ Wishmaster: 可通就是router问题啊,或是直接拿空port测不就行了?04/20 10:44
10F:→ fonzae: forti是内网ip?04/20 11:39
11F:→ king1412: 要先看Fortigate Wan有没有能抓到固定IP04/20 13:24
12F:→ slash66: 整个架构都怪阿,你真的懂?为啥小乌龟要做那些功能在跟04/20 15:07
13F:→ slash66: 後,再跟Forti串在一起?要这样搞,就要对网路熟一点,04/20 15:09
14F:→ slash66: 用Forti做所有功能就好,故障排除也清楚方便04/20 15:12
15F:→ slash66: 先确认Forti的webvpn外部页面可以连到能登入就没问题了04/20 15:21
16F:→ konkonchou: 若只单一网站对外,设定好NAT, 外部转内部,再设好相04/20 15:22
17F:→ konkonchou: 关policies ,VPN连入後,连该网站也不该再绕出去一圈04/20 15:22
18F:→ slash66: 代表WAN这段vpn tunnel有建立起来,连不到内网某设备04/20 15:24
19F:→ slash66: 就是policy,路由设定的问题了04/20 15:25
20F:→ slash66: 也没人在用内部测vpn的,你却内网走的不是路由而是vpn04/20 15:29
21F:→ slash66: tunnel吗?你拿到的是vpn配发的ip吗?你要从forti内测04/20 15:32
22F:→ slash66: 要改成interface mode,才会是独立的04/20 15:35
配合要求删除推文
※ 编辑: chabaterii09 (111.71.48.58), 04/25/2019 14:09:24