[硬件资讯]
中华电信1固 网络
fortinet 60E防火墙
[问题描述]
vpn设定完成
内部的两个网段都可以使用forticlient连线成功
但是无法透过对外的固定IP从外部连线使用
[已尝试过的方法]
1.使用中华电信的port forward指定到forti的ip
2.改由web vpn可以用对外ip看到页面,但是http或是https指定port却无法到forti vpn
3.尝试使用php转址到forti的ip
[其他线索]
网络的接线方式是
中华电信接到小乌龟上
小乌龟给一台主机对外ip
剩下都用小乌龟配发a网段
小乌龟留一个port接给forti
forti配发b网段

policy有设?

sslvpn应从外到内，所以要开的方向应是sslvpn to internal并且确定连的port号是否跟443隔开再确定连线使用着的portal，至少有相对应比如web对web，不然就先开full or tunnel可打fortigate sslvpn有相关影片如果可以把public ip设在fgt更好除错或厘清

内对内的网段为什么要用vpn?

内对内用VPN做什么？

一般我们都会把443 port 留给透过https 连入fortigate用也就是您透过https搭配外部ip 进入管理接口用的sslvpn 我们会改用10443 port来区隔但通常系统的默认sslvpn port 也是443, 所以要改

看起来没上线阿,直接拿笔电对接外线port测可通就是router问题啊,或是直接拿空port测不就行了?

forti是内网ip?

要先看Fortigate Wan有没有能抓到固定IP

整个架构都怪阿，你真的懂？为啥小乌龟要做那些功能在跟后，再跟Forti串在一起？要这样搞，就要对网络熟一点，用Forti做所有功能就好，故障排除也清楚方便先确认Forti的webvpn外部页面可以连到能登入就没问题了

若只单一网站对外，设定好NAT, 外部转内部，再设好相关policies ，VPN连入后，连该网站也不该再绕出去一圈

代表WAN这段vpn tunnel有建立起来，连不到内网某设备就是policy，路由设定的问题了也没人在用内部测vpn的，你却内网走的不是路由而是vpntunnel吗？你拿到的是vpn配发的ip吗？你要从forti内测要改成interface mode，才会是独立的

小乌龟往fg要设fg的lan跟sslvpn路由你打小乌龟的wan ip转到FG PORT forward1就有成功最后就是把架构图画上来会更好，真的不常见小乌龟会会public ip设在上面，大多都是自己设备。然后一固这也很奇怪，通常一固指的是拨接式。然后又说把一对外IP给一主机用。 那你到底几个外部IP?所以还是架构图稍微画一下毕竟好懂