FortiGate 策略路由在SSL VPN通道模式中的应用
深圳福义轩信息技术公司
一、测试设备和版本:
FortiGate 110C 版本:v4.0,build0178,090820 (MR1)
二、实验拓朴
如图-1
主要实现的目的是:外网用户能通过SSL VPN连入公司内网同时通过做策略路由可以访问与公司相连的工商专网(私有地址)的资源。
一、设置步骤
1、 设置SSL VPN
1.1、修改FG SSL VPN通道模式默认分配给远程拨入用户IP段
因为FG SSL VPN通道模式默认分配给远程拨入用户的IP为10.0.0.1-10.0.0.10,这与工商网的IP段重复,所以先改掉
如图-2
1.2、开启SSL VPN
如图-3
选择IP地池,设置DNS服务器(保证连接VPN后还可以上外网)
1.3、设置 SSLVPN用户
如图-4
添加到SSL 用户组里
如图-5
将用户组加入到规则里
1.4、设置SSL VPN 策略
如图-6
外网可以连SSL VPN
如图-7
SSL VPN可以访问内网网段
1.5、设置SSL VPN 路由
如图-8
以上设置就可以让外网用户连入SSL VPN并可以访问内网资料
1、 设置专网路由
如图-9
如图-10
去往10.0.00/8和192.168.5.0/24走WAN2口
3、设置SSL VPN 拨入后去专网的策略
如图-11
如图-12
从ssl.root进来的172.168.10.0/24的地址去工商的二个网段走WAN2口
1、 设置SSL VPN 拨入后去专网的策略
如图-13
目的地址是工商的二个网段10.0.0.0/8、192.168.5.0/24
因为工商网只对接口地址开放了访问权限所以这里要点上NAT
四、测试
如图-14
如图-15
拨入SSL VPN后获得的地址
如图-16
注:这个功能也可以用到做分支端与总部做IPSEC VPN后去访问与总部相边的另一个网络,但要用IPSEC的通道模式。