推 qwert88: Policy有開嗎? 05/13 19:55
推 pigya0214: VPN Policy內除了來源地址還要加入使用者帳號或群組 05/13 21:22
推 trust0214: 經FORTI上網 VPN TO WAN的POLICY要開 05/14 07:27
→ trust0214: 不經FORTI,CLIENT有個遠端匣道器勾勾要拿掉 05/14 07:27
→ trust0214: 不知對不對 您再試試看一下了 05/14 07:28
→ freeunixer: 可以看我上傳的圖,沒有那個選項呢... 05/14 14:46
推 phoenixcx: 你policy看看vpn的zone能不能對外 05/14 15:28
→ freeunixer: 後來我發現...是我的 Wan 端沒設 gateway 出不去... 05/14 15:53
→ freeunixer: 現在我可以透過 VPN 連外了,但是不知道, 05/14 15:54
→ freeunixer: 若一般連線要走 client 自己,要怎麼設 split channel 05/14 15:55
→ deadwood: つfortigate cookbook XD 05/14 16:48
→ freeunixer: 解決了.在位址物件那要建一個 lan ip range, 05/15 15:28
→ freeunixer: 到已建立的 VPN 隧道的網路裡在可訪問網路選擇 LAN, 05/15 15:30
→ freeunixer: 確認可訪問網路上的 split channel 有勾選,這樣就行了 05/15 15:30
→ freeunixer: 簡單說就是要讓 tunnel 知道這個連線可以去哪些地方, 05/15 15:42
→ freeunixer: 以外的流量它就會丟還給你自己. 05/15 15:42
→ freeunixer: 所以你應該可以定義允許轉發的位址,綁成一個 GROUP 05/15 15:43
→ freeunixer: 將它設到可訪問網段裡,這樣就能做到指定位址/網段轉發 05/15 15:44
→ freeunixer: 不過好像不能同時建兩個 tunnel,直接切有 sp 跟無 sp 05/15 18:28
→ deadwood: 理論上 把你要的透過forti的公有IP加進要SP的物件群組 05/15 20:45
→ deadwood: 應該就可以做到了 05/15 20:45
→ freeunixer: 是,但因為 target 零散,我想建兩條獨立的 tunnel 省事 05/15 22:01
→ freeunixer: 但試了之後發現好像建了第二條,就會造成一條失效... 05/15 22:02
→ freeunixer: 後來我搞了一個 pptp channel 出來,我先來試試看, 05/16 14:05
→ freeunixer: 如果同間兩個以上連線沒問題,就 PPTP、IPSec 分著用吧 05/16 14:06
→ deadwood: 我記得可以用不同使用者群組對應到不同tunnel,可以試試 05/16 23:41
→ freeunixer: 我前兩天試了,沒辦法,設了第二條,就會錯亂... 05/17 10:57
→ freeunixer: 我問別人,回答是一個介面只能有一個 ipsec channel. 05/17 10:57
→ freeunixer: 現在要改試 tp mode,全得手動設,苦幹 Phase 2 中... 05/20 18:07
→ freeunixer: tp mode 的 client to side 該怎麼設... 05/20 18:26