我的fortigate版本是5.2,內部網路的IP是192.168.1.0/24
fortigate防火牆的wan public ip假設是1.164.135.24
現在的情境是在外部需要連線進入取得192.168.1.x的內部IP
可以訪問內網的設備,同時可以將1.164.135.24當作跳板,連線到其他ineternet
首先先啟用VPN的功能,在儀表板上有一個VPN把他調整到ON
接下來操作模式必須是NAT,如果使用透通的話就無法使用VPN了
接著把public IP綁到wan1上
接下來先建立sslvpn的帳號以及群組
接下來設定VPN的部分
來源IP pools選擇vpnip
介面監聽可以選擇any,不過一般都是從外面播號進來,所以我選擇WAN1,port改為10443
IP範圍使用vpnip,認證/入口網對應新增sslvpn群組只用full-access,其他使用群組也使用full-access(共兩筆)
這樣VPN應該就啟用了,接著設定policy
如果要允許VPN使用者能夠訪問內網
如果要讓VPN把fortigate當作跳板,例如你人剛好在大陸想上個FB之類的
最後全部設定完成之後,請記得進入命令視窗輸入
網路上找到的文件很像都沒這段,最後全部設定完成之後
https://1.164.135.24:10443應該可以看到登入畫面(但是無法用瀏覽器登入)
你就可以安裝forti client使用sslvpn了
fortigate防火牆的wan public ip假設是1.164.135.24
現在的情境是在外部需要連線進入取得192.168.1.x的內部IP
可以訪問內網的設備,同時可以將1.164.135.24當作跳板,連線到其他ineternet
首先先啟用VPN的功能,在儀表板上有一個VPN把他調整到ON
接下來操作模式必須是NAT,如果使用透通的話就無法使用VPN了
接著把public IP綁到wan1上
系統管理->網路->介面->wan1
位址你可以選擇DHCP也可以自訂,看每個人網路環境接下來先建立sslvpn的帳號以及群組
用戶與設備->用戶認證->建立一個新使用者
用戶與設備->用戶群組->建立一個sslvpn的群組
,同時把剛剛的使用者放進來政策&物件->物件->位址 新增一段位址(vpnip)給VPN的使用者(192.168.1.200-192.168.1.210)
政策&物件->物件->位址 新增一段位址(local_lan)給內網(192.168.1.0/24)
接下來設定VPN的部分
VPN->SSL->門戶網站->full-access 將啟用切分隧道不要勾選
來源IP pools選擇vpnip
VPN->SSL->設定->full-access 將啟用切分隧道不要勾選
介面監聽可以選擇any,不過一般都是從外面播號進來,所以我選擇WAN1,port改為10443
IP範圍使用vpnip,認證/入口網對應新增sslvpn群組只用full-access,其他使用群組也使用full-access(共兩筆)
這樣VPN應該就啟用了,接著設定policy
如果要允許VPN使用者能夠訪問內網
ssl.root -> local_lan就需要啟用(記得NAT不要勾選,要不然全部VPN使用者都會帶一樣的IP)
如果要讓VPN把fortigate當作跳板,例如你人剛好在大陸想上個FB之類的
ssl.root -> wan1 就需要啟用
最後全部設定完成之後,請記得進入命令視窗輸入
config vpn ssl web protal
edit full-access
set host-check av
end
edit full-access
set host-check av
end
網路上找到的文件很像都沒這段,最後全部設定完成之後
https://1.164.135.24:10443應該可以看到登入畫面(但是無法用瀏覽器登入)
你就可以安裝forti client使用sslvpn了