fortiGate 50Bは、ローカルネット192.168.10。*(オフィス)からリモートネットワーク172.29.112。*にipsecトンネルを使用してトラフィックをルーティングするように構成しました。私のコンピュータが192.168.10。*からのIPを持っている限り、すべてが正常に機能します。
自宅からSSLVPN接続を使用してオフィスネットワークに接続することもできます。接続すると、10.41.41。*からIPを受け取ります。
ここで、オフィスネットワークからのトラフィックフローと同じように、10.41.41。*から172.29.112。*へのトラフィックフローを許可したいと思います。
誰かが私がする必要があることを正しい方向に向けることができますか?
ありがとう、サシャ
私はあなたと同じ状況にあります。
これは私が試したものですが、機能しませんでした(すべてのIPは例であり、あなたの質問から引用したものです):
仮想IP(192.168.10.200)へのNAT SSLVPN(10.41.41 .)からIPSEC(172.29.112。に向かうすべてのトラフィック)したがって、すべてのSSLVPNトラフィックは内部IPに変換されます。トンネルをうまく通過する必要があります。このようにして、変更されたIPSEC宛先を回避できましたが、機能しませんでした。
Alexが言ったように、唯一の方法は、両方のIPSEC側にSSLVPNネットワーク(10.41.41。*)を追加して、すべてのトラフィックが正常にルーティングされるようにすることです。
これと同じ状況が発生し、SSL.vpnインターフェイスからIPsecトンネルインターフェイスにポリシーを追加してから、IPsecトンネルインターフェイスからSSL.vpnインターフェイスにポリシーを追加することで修正しました。問題は、トラフィックが許可されるインターフェイスです。ポリシーで定義されていないインターフェイスにヘアピンすることはありません。
あなたの質問にはいくつかの情報が欠けています。
主に;
IPSECトンネル内のトラフィックをNATしていないと仮定すると、これは簡単なチェックリストです。
10.41.41.xサブネットを関心のあるトラフィックに追加します
これは、10.41.41.xサブネットがIPSECトンネルを通過すると予想されることを示します。 IPSECトンネルの両端で、両方のデバイスで構成を変更する必要があります。これが適切に行われない場合、VPNはIPSECトンネルのフェーズ1を完了することさえできません。
ルートを追加
SSLVPNがクライアントに適切なルートを送信することを確認してください。これは、SSL VPNに接続するときに、クライアントが172.29.112.xへのルートを持っている必要があることを意味します。
同じことが172.29.112.xネットワークにも当てはまり、パケットを10.41.41.xにルーティングする場所を知る必要があります。
場合によっては、たとえば、IPSEC VPNの両方のピアがそれぞれのネットワークのデフォルトルーターでもある場合、それはmight必要ありません。
ポリシーを追加
私はフォーティネットの専門家ではありませんが、ほとんどのファイアウォールでは、ポリシーまたはACLを使用してVPNトンネル内のトラフィックを明示的に許可する必要があります。これは、IPSECトンネルとSSLVPN接続の両方に当てはまります。
私が言ったように、これはかなり漠然とした答えです(つまり、それらはポインタです)が、質問にはあまり詳細がないので、私が考えることができる最高のものです。