允许来自ssl-vpn的通信进入fortigate上的ipsec隧道。

Question

我们将FortiGate 50B配置为使用ipsec隧道将流量从本地网络192.168.10.* (这是我们的办公室)路由到远程网络172.29.112.*。只要我的电脑有一个从192.168.10开始的ip，一切都能正常工作。

我们还可以使用ssl连接从家里连接到办公网络。一旦连接，我们将收到10.41.41的ip。*。

现在我想让流量从10.41.41.*到172.29.112.*，就像办公室网络的流量一样。

有人能为我指出正确的方向吗？

谢谢你，萨沙

Answer 1

我也遇到了同样的情况，并通过将策略从SSL.vpn接口添加到IPsec隧道接口，然后从IPsec隧道接口添加到SSL.vpn接口，从而解决了这个问题。问题是流量允许在哪些接口上。它不会影响到没有在策略中定义的接口。

Answer 2

我也和你一样。

这就是我试过但没有成功的地方(所有的is都是一个例子，取自你的问题)：

NAT到一个虚拟IP (192.168.10.200)所有来自SSLVPN的流量(10.41.41.)和去IPSEC (172.29.112)因此，所有的SSLVPN流量都被转换成一个内部IP，该IP应该通过隧道罚款。通过这种方式，我们可以避免修改IPSEC目的地，但没有工作。

唯一的方法是将我们的SSLVPN网络(10.41.41.*)添加到IPSEC双方，正如Alex所说的那样，所以所有的流量都会被路由好。

Answer 3

你的问题中缺少一些信息。

主要是；

1. 您在IPSEC隧道内NATing流量吗？
2. 您是否也在管理IPSEC隧道的另一端的对等方？

假设您不是IPSEC隧道中的NATing流量，这是一个快速检查表。

将10.41.41.x子网添加到有趣的流量

中

这将表明10.41.41.x子网预计将在IPSEC隧道中传输。您必须在IPSEC隧道两端的两个设备上进行配置更改。如果没有正确地完成这一点，您的VPN甚至无法完成IPSEC隧道的第一阶段。

添加路由

确保您的SSL向客户端发送了正确的路由。这意味着当连接到SSL时，客户端应该有一个用于172.29.112.x的路由。

在172.29.112.x网络上也是如此，它需要知道如何将数据包路由到10.41.41.x。

例如，在某些情况下，如果IPSEC VPN上的两个对等点也是各自网络上的默认路由器，则可能不需要该路由器。

添加策略

我不是Fortinet专家，但大多数防火墙也要求您显式地允许VPN隧道内的流量具有策略或ACL。对于IPSEC隧道和SSL连接都是如此。

就像我说的，这是一个相当模糊的答案(即它们是指针)，但是由于问题中没有太多的细节，这是我所能想到的最好的答案。