作者chabaterii09 (小豆子)
看板MIS
標題[Case] VPN連線問題
時間Fri Apr 19 21:11:22 2019
[硬體資訊]
中華電信1固 網路
fortinet 60E防火牆
[問題描述]
vpn設定完成
內部的兩個網段都可以使用forticlient連線成功
但是無法透過對外的固定IP從外部連線使用
[已嘗試過的方法]
1.使用中華電信的port forward指定到forti的ip
2.改由web vpn可以用對外ip看到頁面,但是http或是https指定port卻無法到forti vpn
3.嘗試使用php轉址到forti的ip
[其他線索]
網路的接線方式是
中華電信接到小烏龜上
小烏龜給一台主機對外ip
剩下都用小烏龜配發a網段
小烏龜留一個port接給forti
forti配發b網段
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 123.194.169.131
※ 文章網址: https://webptt.com/m.aspx?n=bbs/MIS/M.1555679487.A.57A.html
1F:→ fonzae: policy有設?04/19 21:20
有
可以從內部成功使用vpn帳號登入
2F:→ kugga: 內對內的網段為什麼要用vpn?04/19 22:37
3F:推 wantsleep: 內對內用VPN做什麼?04/19 23:22
我是看過影片之後根據影片教學做的
不過policy是先開放all等測通再慢慢限縮
但是一直沒辦法從外網連進內網
所以才試試看全通的policy是否真的有vpn的連線功能
因此才有那句 內部使用是有成功的
我並無內部使用vpn的需求
希望版上大大們不要誤會
如果有辦法從內部的任一網段
透過forti的內部ip使用vpn功能的話
我其實推測是小烏龜port forward到forti ip這段沒有成功
只是我不太熟悉這段我該怎麼驗證他是否真的能夠做到
當我透過web輸入https://外部IP:port 可以轉到 我內部的
https://forti IP:port的功
能
4F:推 yamaraja: 一般我們都會把443 port 留給透過https 連入fortigate用04/20 09:59
5F:→ yamaraja: 也就是您透過https搭配外部ip 進入管理介面用的04/20 10:00
6F:→ yamaraja: sslvpn 我們會改用10443 port來區隔 04/20 10:00
7F:→ yamaraja: 但通常系統的預設sslvpn port 也是443, 所以要改04/20 10:04
8F:→ Wishmaster: 看起來沒上線阿,直接拿筆電對接外線port測04/20 10:44
9F:→ Wishmaster: 可通就是router問題啊,或是直接拿空port測不就行了?04/20 10:44
10F:→ fonzae: forti是內網ip?04/20 11:39
11F:→ king1412: 要先看Fortigate Wan有沒有能抓到固定IP04/20 13:24
12F:→ slash66: 整個架構都怪阿,你真的懂?為啥小烏龜要做那些功能在跟04/20 15:07
13F:→ slash66: 後,再跟Forti串在一起?要這樣搞,就要對網路熟一點,04/20 15:09
14F:→ slash66: 用Forti做所有功能就好,故障排除也清楚方便04/20 15:12
15F:→ slash66: 先確認Forti的webvpn外部頁面可以連到能登入就沒問題了04/20 15:21
16F:→ konkonchou: 若只單一網站對外,設定好NAT, 外部轉內部,再設好相04/20 15:22
17F:→ konkonchou: 關policies ,VPN連入後,連該網站也不該再繞出去一圈04/20 15:22
18F:→ slash66: 代表WAN這段vpn tunnel有建立起來,連不到內網某設備04/20 15:24
19F:→ slash66: 就是policy,路由設定的問題了04/20 15:25
20F:→ slash66: 也沒人在用內部測vpn的,你卻內網走的不是路由而是vpn04/20 15:29
21F:→ slash66: tunnel嗎?你拿到的是vpn配發的ip嗎?你要從forti內測04/20 15:32
22F:→ slash66: 要改成interface mode,才會是獨立的04/20 15:35
配合要求刪除推文
※ 編輯: chabaterii09 (111.71.48.58), 04/25/2019 14:09:24