Apr 21 2009

設定Fortigate SSL VPN 分割通道

分類:硬體好軟 , 有 6,107 次瀏覽過 , 有 1,317 個機器人爬過

基礎網路架構示意圖

上一篇文章講了Fortigate SSL VPN 的設定方式,但參照該方法後,所有進出的網路流量都會經過Fortigate 設備;如果用戶端的電腦在台灣就算了,萬一老闆出國比賽到半個地球外的歐洲,難道上個網還要大老遠繞回台灣才能出去HAPPY 嗎?

所以,還是要研究一下怎麼設定。方法其實很簡單,只要到User -> User Group 找出已設定的群組,然後勾選「Allow Split Tunneling」,點選「OK」就完成。
群組設定裡選擇「Allow Split Tunneling

切換成繁中介面後,會比較容易理解,該選項就是「允許通道分割」。
允許通道分割

只是,假如真有這麼簡單,我就不會又寫一篇教學...

因為按下「OK」後,一定會出現「Destination address of split tunneling policy is invalid」的錯誤訊息。 /=.=/
Destination address of split tunneling policy is invalid

繁中的錯誤訊息則是「通道分割策略的目標位址錯誤」。(這是眼博士翻的嗎?)
通道分割策略的目標位址錯誤

其實,解決方法在錯誤訊息已經透露出一些端倪,這是由於之前的SSL VPN 快速設定,在WAN 對 Internal 的Policy 裡,並沒有針對Internal 指定範圍所造成的問題。

1) 到Firewall -> Address,新增一組內部IP網段。以範例的基本網路架構圖來看,內部IP網段應設定為「192.168.1.0/255.255.255.0」。
新增內部網段範圍

2) 修改WAN -> Internal 的Policy,將「Destination」修改為指定的內部網段。
修改WAN對Internal 的目標位址

選擇該項Policy 點選修改,然後將「Destination Address」指定為剛設定的內部IP 網段。
修改Internal 的目標位址

再回到群組設定裡勾選「允許通道分割」的選項,才真的算是成功喔。

最後,用「route print」指令來檢視用戶端的路由變化。
未連接SSL VPN 的路由表,預設閘道為192.168.123.254。
未連線SSL VPN 前的路由

連接SSL VPN 成功的路由表,且尚未設定分割通道。可以發現預設閘道已經變為192.168.254.1,且Metric 值優於原本的192.168.123.254,故所有的網路流量都改走SSL VPN 所建立起的通道。
連線SSL VPN 成功,但未分割通道的路由表

連接SSL VPN 成功的路由表,且已設定分割通道預設閘道仍為192.168.123.254,僅有「192.168.1.0/24」及「192.168.254.1/32」才會走192.168.254.1 的閘道。
連線SSL VPN 成功,且已設定分割通道的路由表

萬一SSL VPN 在已設定通道分割的狀況下,使用者執意要改走Fortigate 對外線路,也不是沒有辦法,用指令「route add 0.0.0.0 mask 0.0.0.0 VPN取得之IP」就能達成。

以本範例來說,就是輸入「route add 0.0.0.0 mask 0.0.0.0 192.168.254.1」。從路由表觀察,預設閘道已更改為192.168.254.1,且Metric 值優於原本的預設閘道,路由狀況跟SSL VPN 未分割設定前幾近一樣。
手動改變路由

好啦,我也覺得用指令改來改去很麻煩,尤其對於一般使用者來說,指令跟火星文一樣。其實,建議可以利用建立兩個不同帳號及群組的方式,將一個群組設定為不分割VPN 通道,一個群組設定為分割通道,這樣就能輕鬆選擇模式囉!

閱讀相關文章:

 ▲閱讀較新的文章»» Windows 7 RC 版全面公測
 ▼閱讀較舊的文章»» 快速設定Fortigate SSL VPN


加入書籤: HemiDemi MyShare Baidu Google Bookmarks Yahoo! My Web Del.icio.us Digg technorati furl 加入此網頁到:YouPush 加入此網頁到:你推我報

目前有 8 個回應 , 標籤:



有 8 個回應 在「設定Fortigate SSL VPN 分割通道」的文章

  1. 1 樓 小弟弟在 2009年 09月 26日 23:51:26 說

    蘇老兄您好:
    小弟有個問題想請教一下蘇老,最近小弟正在研究Fortinet產品,但不知為何所有interface都ping不通,不知道需要打開甚麼選項才能讓我的interface可以開啟icmp服務呢??
    目前只有Admin的TrustHost 那三組IP 可以ping到我的interface其餘底下的PC皆無法ping通(但第二層有通,利用arp -a得到interface 的mac) 底下的PC也可以出去internet 在規則(Policy)的部分也全開,但這問題小弟卡了一段時間,不知道是否有解答呢?謝謝^^

  2. 2 樓 小弟弟在 2009年 09月 26日 23:57:54 說

    不好意思小弟補充一下
    我在 System 底下 Network 底下的所有interface都有開啟 access ping 但是一樣還是ping 不通

  3. 3 樓 AskaSu在 2009年 10月 01日 11:49:46 說

    先檢查看看
    System -> Network -> 欲設定開啟ICMP的Interface ,
    確認[Administrative Access]項目有勾選Ping。

    如果有,卻仍然Ping不到,
    我會建議直接把電腦跟FG串在一起測試看看,
    排除有其他設備阻擋的可能。

  4. 4 樓 kevin428在 2010年 03月 21日 21:38:03 說

    這應該是因為TrustHost里的ip 才能ping的關係
    因為限定的ip里沒加入interface的網段
    謝版主的分享 在此收穫良多

  5. 5 樓 Bill LEE在 2010年 05月 20日 15:08:27 說

    你好,

    我跟你的設定成功建立 SSL VPN, 他們能取到 "internal" 的 resources.

    但是如果設定 VPN 用戶能夠取得 "dmz" 的 resources?

    小弟新手, 正在苦惱中, 望能賜教.

    謝謝
    Bill.

  6. 6 樓 Bill LEE在 2010年 05月 20日 15:09:15 說

    更改: 但是如何設定 VPN 用戶能夠取得 "dmz" 的 resources?

  7. 7 樓 AskaSu在 2010年 05月 21日 13:49:11 說

    有測過Internal 端的電腦能正常存取到DMZ 區嗎?
    我目前猜測是不是VPN 端用戶,
    因為路由或Policy 的關係而導致無法繞過去。

  8. 8 樓 Owen在 2010年 06月 15日 16:55:13 說

    設定 VPN 用戶能夠取得 "dmz" 的 resources?

    我試了一下,在蘇老的這一項中
    2) 修改WAN -> Internal 的Policy,將「Destination」修改為指定的內部網段。

    再加一項 WAN -> DMZ 的Policy,ACTION 為 SSLVPN
    這樣在 SSLVPN WEB 模式就可以連到DMZ 了。

    若要在 SSLVPN Tunnel 模式也要連 DMZ,就加上 ssl.root 到 DMZ 的 Policy 即可。

留 言 回 應

(若看不到驗證碼,請重新整理網頁。)