皆さん、FortiWarriorsの皆さんへ、
私たちのシナリオで何が起きているのかを簡単に説明します:テスト用のFortigate 61E(FortiOS 6.2.6)をWANが2つある設定にしました。CloudflareのVPNゲートウェイ用FQDNに対してロードバランサーを作成し(プロキシをオンにしています)、これがWAN1とWAN2のIPアドレス(フェイルオーバー時用)を指しています。両方のWAN IPにSSL VPNを有効にし、それぞれCloudflareがサポートするカスタムポートでリスニングしています。“Webモード” VPNポータルに接続しようとすると、すべて問題なく動作しますが、Forticlientを使って同じSSL VPNゲートウェイに接続しようとすると、"VPNサーバー利用不可の可能性"というエラーが出ます。この種の設定を以前に構成したことがある方はいますか?Fortinetサポートは、これが世界で初めての設定かのように説明しましたが、それは全くの誤りです。皆さんの意見を非常に感謝します…
(追記:認証やアクセス許可の問題は除外しています。また、すべての関連するポリシーが適用されていることについてもFortinetサポートにダブルチェック済みです。)
リバースプロキシを通じてトンネルモードのSSL VPNを動かすことは不可能です。
トンネルモードのSSL VPNはTLS上でPPPoEをトンネルします。
確かに、サードパーティのプロキシを通じてSSL VPNを動かす際に問題が見られました。CloudflareやTotalUptimeがこの問題を経験しています。SonicWallやFortinet製品でも見られました。
編集:プロキシを迂回するのが解決策でした。
Cloudflareは汎用のTLSプロキシを提供していますか?なぜなら中身はHTTPではなく、HTTPSプロキシでは対応できないからです。また、これがFortiGateの観点から見たときのクライアントトラフィックの送信元IPにどう影響するのかも気になります。SNATされてロードバランサーのIPにされた場合、太 fingerのユーザーが全員を締め出す可能性もあります。
皆さん、これらの洞察を共有してくれてありがとうございます!!方向性が見えてきました…ご協力に感謝します。
CloudflareのようなWebプロキシはHTTP/HTTPSトラフィック用です。プロキシはTLS接続を処理しますが、FortiClientがPPPについて話し始めると、そのトラフィックの扱いに困ることになります。ポータルモードを使ったときは、すべてのトラフィックがHTTPの中にカプセル化されていました。
CFプロキシを通じてSSL VPNトラフィックをどうやってバイパスしましたか?
こんにちは、これに対する解決策が見つかりましたか?
こんにちは、私も同じ問題を抱えています。解決策は何でしたか?