FGT PPTP VPN 不设定通道分割(所有流量均从VPN通道发往远端FGT,然后从FGT再出去),如何实现?

近期有帮几个客户设定过PPTP拨号;拨号正常,访问FGT所在远端网络正常;
大家也知道,PPTP客户端设定好以后,一般是建议将拨号器中TCP/IP属性中“在远程网络上使用默认网关”的勾选拿掉而达到通道分割之目的 ,或者在vpn拨接成功后在操作系统上添加对应的静态路由来实现 。
现在想问的问题是,如果不去掉“..默认网关”的勾选,也不想修改客户端操作系统上的静态路由信息(每次都要添加,麻烦);是否有办法在FGT上实现??
已邀请:

谭杰 - Fortinet

赞同来自: 王帅 bigpig

没办法。

因为PPTP协议中,VPN网关设备(FortiGate)无法控制客户端的路由选择。只能用户手动在客户端修改。

1. 如果勾选“在远程网络上使用默认网关”,就是所有流量都通过VPN。
FortiGate上需要设置一条策略:
接口:outside -> outside
地址:pptp-ip-range -> all
服务:all -> all
允许并启用NAT。

2. 如果去掉“在远程网络上使用默认网关”,则只有去往PPTP虚拟网卡同一网段的访问经由VPN,默认路由(例如Internet)还是通过本地网卡。

蝈蝈 - 郭亦剑-上海明途

赞同来自: 王帅 bigpig

感谢谭总解答,我本身的想法也是这样的;
但是很奇怪,客户反应其它的一些网络设备建立的PPTP拨号,可以不用去掉客户端上的“...默认网关”勾选或者手动改系统的路由信息

蝈蝈 - 郭亦剑-上海明途

赞同来自: bigpig

本来想通过FGT上添加一条策略路由来实现,但是试了下貌似也没什么效果...

谭杰 - Fortinet

赞同来自: bigpig

你到底要通道分割还是不要?

通道分割:
访问远端LAN ——> 走FortiGate的PPTP VPN
访问Internet ——> 通过本地网络

谭杰 - Fortinet

赞同来自: bigpig

勾上“在远程网络上使用默认网关”就是所有流量都通过VPN。

谭杰 - Fortinet

赞同来自: bigpig

FortiGate上设置一条策略:
接口:outside -> outside
地址:pptp-ip-range -> all
服务:all -> all
允许并启用NAT。

蝈蝈 - 郭亦剑-上海明途

赞同来自: bigpig

经谭总提醒,在FGT上多添加一条策略 :
接口:outside -> outside
地址:pptp-ip-range -> all
服务:all -> all
允许并启用NAT

然后在本地PPTP客户端上添加该FGT所在地区的DNS

目前已实现翻墙效果

PS:需要注意的是,如果需要访问FGT所在内网,那么要先添加一条outside -> inside (addr : pptp-ip-range -> internal addr ) 策略 (该策略执行顺序要在 outside -> outside (pptp-ip-range -> all ) 这条策略之前 (若只有outside -> outside (pptp-ip-range -> all ) 这条策略 ,则PPTP客户端无法访问FGT所在内网)

感谢谭总热心解答,提供解决思路~~

蝈蝈 - 郭亦剑-上海明途

赞同来自:

不要通道分割,拨号客户端上所有的流量,都从VPN通道→远端FGT→internet (如果有访问internet的话)

蝈蝈 - 郭亦剑-上海明途

赞同来自:

勾选上“...使用默认网关”,那么在拨号客户端上是无法上网的 (在不修改客户端OS路由表的情况下)

dchina - 赛辰-攻城狮

赞同来自:

如果FG设备开启pptp client 功能,FG设备直接拨号远端PPTP VPN服务器,好像FG的所有流量只能朝PPTP隧道走,无法让访问远端LAN资源和internet网络区分开。(如此奇葩的要求基于某些用户有访问facebook,twitter需求,必须绕过GFW)

huhq

赞同来自:

我设了WAN-WAN的NAT允许策略,好像还是无法访问.
edit 15
set srcintf "wan1"
set dstintf "wan1"
set srcaddr "PPTP_VPN_ADD"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next

客户端是设了使用默认网关的.
连ping当地的DNS也无法ping通,在防火墙上是可以ping通的.


PPP adapter test:

Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.212.133.101
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 10.212.133.101
DNS Servers . . . . . . . . . . . : 211.155.225.201
211.155.225.188

route print显示
........
255.255.255.255 255.255.255.255 10.212.133.101 10.212.133.101 1
255.255.255.255 255.255.255.255 192.168.18.103 192.168.18.103 1
Default Gateway: 10.212.133.101
===========================================================================
Persistent Routes:
None



另外,发现PPTP连接经常不成功,有时候要重连好多次才可以连上.总是显示619错误.
飞塔80C,版本 v5.0,build0271 (GA Patch 6)
XP/win7上都试过了,一样.

蝈蝈 - 郭亦剑-上海明途

赞同来自:

你客户端上VPN拨接器 有手动添加了下FGT所在地的DNS Server 吗?

我设定好以后测试是可以的(FGT所在地 新加坡,VPN拨接上去后 可以上FaceBook 和 youtube :-) )

huhq

赞同来自:

问题已解决。

这台80c上有双链路,不知为何,pptp用户访问互联网时,即便拨号到wan1,所有的流量依旧都从wan2出去了.所以PPTP客户端上网实际上没有匹配策略。

解决办法:
1、在80c上设置策略路由,将源地址PPTP_VPN_ADD的路由指向wan1;
或者
2、将wan1到wan1的nat访问允许策略改成从(wan1,wan2)到(wan1,wan2)

经过测试,用上述两种方法,PPTP客户端都上网成功(当然在本地PPTP接口上添加飞塔设备所在地区的DNS还是必需的,或者就干脆设成8.8.8.8,比较通用)。

jhhuang - 80IT

赞同来自:

PPTP 翻墙并不稳定,个人建议用SSL VPN来翻墙,稳定性要好得多

要回复问题请先登录注册