反覆看了几遍你的需求应该是这样 基於某些理由不想让end user 直接SSLVPN/L2TP/IPsec连B点的firewall 所以在A点做了IPsec/L2TP 跟B点互通後让end user 走A的防火墙再到B 这问题在一年多前我跟原厂tech support问过类似的他们也是用NAT的方式解决 但当时我是走SSLVPN要到B点的firewall 题外话这问题在台湾挺常见到 我跟老外在做troubleshooting时对方大概都会简单的讲一下理由和需求再讲发生的问题 在台湾就像这篇我的问题是这样要怎麽解 另外L2TP该用capital 不要吝啬按个shift 想说12tp?? tp stands for??? 大部分的人都是乐於分享，但前提是你提供的资讯要够大家明白你的需求才能帮到 ※ 引述《freeunixer (离自相空她相)》之铭言： : 想请问, : 两端已经用 forti 建好一个 siteA <-> siteB 的通道,两端 lan 可通没有问题 : 但 fgA 有 l2tp(/ipsec) client 需要经通道进到 fgB 的 lan. : 已经设定了 : fgA fw rule 允许 l2tp/ipsec 介面(来源)经 sitevpn 介面出去(目的), : fgB fw rule 允许 fgA 的 VPN client 网段经过 sitevpn 介面进到指定 lan 网段 : 不知还需要设定哪些其它地方? --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 72.137.206.138 (加拿大) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/MIS/M.1629145014.A.04E.html 当时我的设定是不能动到B点的设定因为那是厂商的firewall ，那台也是fortigate SSLVPN预设的IP pool都10开头，当时实在懒得改自己的firewall设定加上远端 靠龟速forticloud 去改实在懒惰 问了原厂就说不改SSLVPN IP pool就要靠NAT 反正只是要测一些基本功能而已後来也没上线XD ※ 编辑: lovespre (99.245.225.176 加拿大), 08/17/2021 10:20:50