Позвольте трафику от ssl-vpn вводить туннель ipsec в fortigate
Если Вы хотели бы доступ к субдомену (я принимаю для использования в файле PHP), можно попробовать следующее:
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_URI} \.(gif|jpg|jpeg|png)$
RewriteCond %{HTTP_HOST} ([^\.]*)\.([^\.]*)\.testdomain\.com$
RewriteRule (.*) http://testdomain.com/fallback.php?image=$1&user=%1&subdomain=%2 [P]
Я изменился [L] отметьте к a [P], который проксирует запрос, в противоположность перенаправлению его. Это действительно требует mod_proxy быть включенным. %1 и %2 предоставьте доступ к regex группам от предыдущего RewriteCond
Кроме того, я не уверен относительно почему Ваш RewriteRule инициирован по каждому запросу с двумя субдоменами, поскольку это не должно быть. Можно включить переписать журнал и видеть то, против чего он соответствует.
Надеюсь, это поможет.
I ' м в вашей же ситуации.
Это то, что я пробовал, но не сработало (все IP-адреса являются примерами и взяты из вашего вопроса):
NAT на виртуальный IP-адрес (192.168.10.200) весь трафик, исходящий от SSLVPN (10.41.41. ) и переход на IPSEC (172.29.112. ) Таким образом, весь трафик SSLVPN транслируется на внутренний IP-адрес, который должен нормально проходить через туннель. Таким образом мы могли избежать изменения назначения IPSEC, но это не сработало.
Единственный способ - добавить на обеих сторонах IPSEC нашу сеть SSLVPN (10.41.41. *), Как сказал Алекс, чтобы весь трафик маршрутизировался нормально
) Таким образом, весь трафик SSLVPN транслируется на внутренний IP-адрес, который должен нормально проходить через туннель. Таким образом мы могли избежать изменения назначения IPSEC, но это не сработало.Единственный способ - добавить на обеих сторонах IPSEC нашу сеть SSLVPN (10.41.41. *), Как сказал Алекс, чтобы весь трафик маршрутизировался нормально
) Таким образом, весь трафик SSLVPN транслируется на внутренний IP-адрес, который должен нормально проходить через туннель. Таким образом, мы могли избежать изменения назначения IPSEC, но это не сработало.Единственный способ - добавить на обеих сторонах IPSEC нашу сеть SSLVPN (10.41.41. *), Как сказал Алекс, чтобы весь трафик маршрутизировался нормально
1149285]
В вашем вопросе отсутствует некоторая информация.
В основном;
- Вы выполняете NAT-трафик внутри туннеля IPSEC
- Вы также управляете одноранговым узлом на другом конце IPSEC Туннель
Предполагая, что вы не применяете NAT для трафика в туннеле IPSEC, это быстрый контрольный список.
Добавьте подсеть 10.41.41.x к вашему интересному трафику
. Это будет означать, что 10.41.41.x ожидается, что подсеть будет проходить через туннель IPSEC. Это изменение конфигурации необходимо внести на обоих устройствах на каждом конце туннеля IPSEC. Если это не сделано должным образом, ваша VPN даже не сможет завершить Фазу 1 туннеля IPSEC.
Добавить маршруты
Убедитесь, что ваша SSL VPN отправляет клиентам правильный маршрут. Это означает, что у клиентов должен быть маршрут для 172.29.112.x при подключении к SSL VPN.
То же самое верно и для сети 172.29.112.x, он должен знать, куда направлять пакеты на 10.41. 41.x.
В некоторых случаях, например, если оба одноранговых узла в IPSEC VPN также являются маршрутизаторами по умолчанию в своей соответствующей сети, это может не понадобиться.
Добавить политики
Я не эксперт Fortinet, но для большинства брандмауэров также требуется, чтобы вы явно разрешали трафик внутри туннеля VPN с помощью политик или списков контроля доступа. Это верно как для туннеля IPSEC, так и для подключения SSL VPN.
Как я уже сказал, это довольно расплывчатый ответ (т.е.
У меня была такая же ситуация, и я исправил ее, добавив политику из интерфейса SSL.vpn в интерфейс туннеля IPsec, а затем из интерфейса туннеля IPsec обратно в интерфейс SSL.vpn. Проблема в том, на каких интерфейсах разрешен трафик. Он не будет привязан к интерфейсу, который не определен в политике.
1 - Перейдите в Объекты брандмауэра> Адрес> Адреса> Создать новую
Создайте подсеть 172.29.112.0/24 (введите Subnet, Interface Any и отметьте Show in Address list) с именем SubnetRemoteIPSEC
Создайте другую подсеть 10.41.41.0/24 (введите Subnet, Interface Any и отметьте Show in Address list) с именем SubnetClientSSL
2 - Перейдите в свою политику SSL VPN и добавьте SubnetRemoteIPSEC в локальную защищенную подсеть (у вас уже должна быть ваша офисная подсеть здесь (192.168.10.0/24)).[1256ght3 - Добавьте новую политику: Входящий интерфейс ssl.root
Исходный адрес SubnetClientSSL
Исходящий интерфейс Имя вашего интерфейса VPN
Целевой адрес все
Расписание всегда
Сервис все
Действие Принять
Включить NAT
Используйте пул динамических IP-адресов и создайте пул (вы можете поместить IP-локальную сеть вашего fortigate 192.168.10.254-192.168.10.254, предполагая, что 192.168.10.254 - ваш внутренний IP-адрес).
Теперь вы сможете получить доступ к своему VPN IPSEC через VPN SSL.