FGT PPTP VPN 不设定通道分割(所有流量均从VPN通道发往远端FGT,然后从FGT再出去),如何实现?
近期有帮几个客户设定过PPTP拨号;拨号正常,访问FGT所在远端网络正常;
大家也知道,PPTP客户端设定好以后,一般是建议将拨号器中TCP/IP属性中“在远程网络上使用默认网关”的勾选拿掉而达到通道分割之目的 ,或者在vpn拨接成功后在操作系统上添加对应的静态路由来实现 。
现在想问的问题是,如果不去掉“..默认网关”的勾选,也不想修改客户端操作系统上的静态路由信息(每次都要添加,麻烦);是否有办法在FGT上实现??
大家也知道,PPTP客户端设定好以后,一般是建议将拨号器中TCP/IP属性中“在远程网络上使用默认网关”的勾选拿掉而达到通道分割之目的 ,或者在vpn拨接成功后在操作系统上添加对应的静态路由来实现 。
现在想问的问题是,如果不去掉“..默认网关”的勾选,也不想修改客户端操作系统上的静态路由信息(每次都要添加,麻烦);是否有办法在FGT上实现??
14 个回复
谭杰 - Fortinet
赞同来自: 王帅 、bigpig
因为PPTP协议中,VPN网关设备(FortiGate)无法控制客户端的路由选择。只能用户手动在客户端修改。
1. 如果勾选“在远程网络上使用默认网关”,就是所有流量都通过VPN。
FortiGate上需要设置一条策略:
接口:outside -> outside
地址:pptp-ip-range -> all
服务:all -> all
允许并启用NAT。
2. 如果去掉“在远程网络上使用默认网关”,则只有去往PPTP虚拟网卡同一网段的访问经由VPN,默认路由(例如Internet)还是通过本地网卡。
蝈蝈 - 郭亦剑-上海明途
赞同来自: 王帅 、bigpig
但是很奇怪,客户反应其它的一些网络设备建立的PPTP拨号,可以不用去掉客户端上的“...默认网关”勾选或者手动改系统的路由信息
蝈蝈 - 郭亦剑-上海明途
赞同来自: bigpig
谭杰 - Fortinet
赞同来自: bigpig
通道分割:
访问远端LAN ——> 走FortiGate的PPTP VPN
访问Internet ——> 通过本地网络
谭杰 - Fortinet
赞同来自: bigpig
谭杰 - Fortinet
赞同来自: bigpig
接口:outside -> outside
地址:pptp-ip-range -> all
服务:all -> all
允许并启用NAT。
蝈蝈 - 郭亦剑-上海明途
赞同来自: bigpig
接口:outside -> outside
地址:pptp-ip-range -> all
服务:all -> all
允许并启用NAT
然后在本地PPTP客户端上添加该FGT所在地区的DNS
目前已实现翻墙效果
PS:需要注意的是,如果需要访问FGT所在内网,那么要先添加一条outside -> inside (addr : pptp-ip-range -> internal addr ) 策略 (该策略执行顺序要在 outside -> outside (pptp-ip-range -> all ) 这条策略之前 (若只有outside -> outside (pptp-ip-range -> all ) 这条策略 ,则PPTP客户端无法访问FGT所在内网)
感谢谭总热心解答,提供解决思路~~
蝈蝈 - 郭亦剑-上海明途
赞同来自:
蝈蝈 - 郭亦剑-上海明途
赞同来自:
dchina - 赛辰-攻城狮
赞同来自:
huhq
赞同来自:
edit 15
set srcintf "wan1"
set dstintf "wan1"
set srcaddr "PPTP_VPN_ADD"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
set nat enable
next
客户端是设了使用默认网关的.
连ping当地的DNS也无法ping通,在防火墙上是可以ping通的.
PPP adapter test:
Connection-specific DNS Suffix . :
Description . . . . . . . . . . . : WAN (PPP/SLIP) Interface
Physical Address. . . . . . . . . : 00-53-45-00-00-00
Dhcp Enabled. . . . . . . . . . . : No
IP Address. . . . . . . . . . . . : 10.212.133.101
Subnet Mask . . . . . . . . . . . : 255.255.255.255
Default Gateway . . . . . . . . . : 10.212.133.101
DNS Servers . . . . . . . . . . . : 211.155.225.201
211.155.225.188
route print显示
........
255.255.255.255 255.255.255.255 10.212.133.101 10.212.133.101 1
255.255.255.255 255.255.255.255 192.168.18.103 192.168.18.103 1
Default Gateway: 10.212.133.101
===========================================================================
Persistent Routes:
None
另外,发现PPTP连接经常不成功,有时候要重连好多次才可以连上.总是显示619错误.
飞塔80C,版本 v5.0,build0271 (GA Patch 6)
XP/win7上都试过了,一样.
蝈蝈 - 郭亦剑-上海明途
赞同来自:
我设定好以后测试是可以的(FGT所在地 新加坡,VPN拨接上去后 可以上FaceBook 和 youtube :-) )
huhq
赞同来自:
这台80c上有双链路,不知为何,pptp用户访问互联网时,即便拨号到wan1,所有的流量依旧都从wan2出去了.所以PPTP客户端上网实际上没有匹配策略。
解决办法:
1、在80c上设置策略路由,将源地址PPTP_VPN_ADD的路由指向wan1;
或者
2、将wan1到wan1的nat访问允许策略改成从(wan1,wan2)到(wan1,wan2)
经过测试,用上述两种方法,PPTP客户端都上网成功(当然在本地PPTP接口上添加飞塔设备所在地区的DNS还是必需的,或者就干脆设成8.8.8.8,比较通用)。
jhhuang - 80IT
赞同来自: