请问一下,
FortiOS 5.6 建 client to site IPSec
Client 端使用 FortiVPN 可以连得上也可以 ping 到 FortiGate 的 LAN,
VPN tunnel 在建时已经勾选了 split-tunnel
但是连上 VPN 后就无法上网...
https://imgur.com/a/jtzfqY3
想问一下如果要经由 FortiGate 及不经由 FortiGate 上网,我还需要设定什么?
(有时是要连上 FortiGate 的 LAN 就好,
但有时要连到只允许 FortiGate IP in 的地方)
谢谢.

Policy有开吗？

VPN Policy内除了来源地址还要加入使用者帐号或群组

是说这里吗? https://imgur.com/a/2SQIAe1

经FORTI上网 VPN TO WAN的POLICY要开不经FORTI，CLIENT有个远端匣道器勾勾要拿掉不知对不对 您再试试看一下了

可以看我上传的图,没有那个选项呢...

你policy看看vpn的zone能不能对外

后来我发现...是我的 Wan 端没设 gateway 出不去...现在我可以透过 VPN 连外了,但是不知道,若一般连线要走 client 自己,要怎么设 split channel

つfortigate cookbook XD

解决了.在位址物件那要建一个 lan ip range,到已建立的 VPN 隧道的网络里在可访问网络选择 LAN,确认可访问网络上的 split channel 有勾选,这样就行了简单说就是要让 tunnel 知道这个连线可以去哪些地方,以外的流量它就会丢还给你自己.所以你应该可以定义允许转发的位址,绑成一个 GROUP将它设到可访问网段里,这样就能做到指定位址/网段转发

理论上 把你要的透过forti的公有IP加进要SP的物件群组应该就可以做到了

是,但因为 target 零散,我想建两条独立的 tunnel 省事但试了之后发现好像建了第二条,就会造成一条失效...后来我搞了一个 pptp channel 出来,我先来试试看,如果同间两个以上连线没问题,就 PPTP、IPSec 分著用吧

我记得可以用不同使用者群组对应到不同tunnel，可以试试

我前两天试了,没办法,设了第二条,就会错乱...我问别人,回答是一个接口只能有一个 ipsec channel.