請問一下,
FortiOS 5.6 建 client to site IPSec
Client 端使用 FortiVPN 可以連得上也可以 ping 到 FortiGate 的 LAN,
VPN tunnel 在建時已經勾選了 split-tunnel
但是連上 VPN 後就無法上網...
https://imgur.com/a/jtzfqY3
想問一下如果要經由 FortiGate 及不經由 FortiGate 上網,我還需要設定什麼?
(有時是要連上 FortiGate 的 LAN 就好,
但有時要連到只允許 FortiGate IP in 的地方)
謝謝.

Policy有開嗎？

VPN Policy內除了來源地址還要加入使用者帳號或群組

是說這裡嗎? https://imgur.com/a/2SQIAe1

經FORTI上網 VPN TO WAN的POLICY要開不經FORTI，CLIENT有個遠端匣道器勾勾要拿掉不知對不對 您再試試看一下了

可以看我上傳的圖,沒有那個選項呢...

你policy看看vpn的zone能不能對外

後來我發現...是我的 Wan 端沒設 gateway 出不去...現在我可以透過 VPN 連外了,但是不知道,若一般連線要走 client 自己,要怎麼設 split channel

つfortigate cookbook XD

解決了.在位址物件那要建一個 lan ip range,到已建立的 VPN 隧道的網路裡在可訪問網路選擇 LAN,確認可訪問網路上的 split channel 有勾選,這樣就行了簡單說就是要讓 tunnel 知道這個連線可以去哪些地方,以外的流量它就會丟還給你自己.所以你應該可以定義允許轉發的位址,綁成一個 GROUP將它設到可訪問網段裡,這樣就能做到指定位址/網段轉發

理論上 把你要的透過forti的公有IP加進要SP的物件群組應該就可以做到了

是,但因為 target 零散,我想建兩條獨立的 tunnel 省事但試了之後發現好像建了第二條,就會造成一條失效...後來我搞了一個 pptp channel 出來,我先來試試看,如果同間兩個以上連線沒問題,就 PPTP、IPSec 分著用吧

我記得可以用不同使用者群組對應到不同tunnel，可以試試

我前兩天試了,沒辦法,設了第二條,就會錯亂...我問別人,回答是一個介面只能有一個 ipsec channel.