私はSSL VPNを持っています - FortiGate 601E/v6.4.7で特に面白いことはありません。
ポータルは1つだけで、グループも1つだけです。非常に基本的な設定です。DIAインターフェース1つとLANインターフェース1つ。ポータルはトンネルとウェブアクセスの両方が有効です。
トンネルとウェブの両方で接続できます — 問題ありません。
スプリットトンネルを越えてトラフィックを通過できません。診断には「2 func=ip_route_input_slow line=2264 msg=“reverse path check fail, drop”」と表示されます。
どうしてこれが起こるのでしょうか。これはFortiのSSL VPNによって発行される仮想IPです。VPNサブネットに対してルートを追加しようとしましたが、うまくいきませんでした。サポートは何もわかりませんでした。よろしくお願いします。
私はバージョン6.4.14にアップグレードするか、7.0.13/7.2.6に移行することから始めるでしょう。SSL VPN機能にはいくつかの重大な脆弱性があり、それらは使用しているあなたには影響します。
あなたはスプリットトンネルを使用しています。あなたのリバースソースIPは、VPNのいかなる宛先ポリシーにも含まれていないので、ルートがプッシュされません。VPNクライアントはリバースルートを見つけられません。
フルトンネルを使用するか、追加のルートをプッシュしてください。ポリシーベースルーティングの場合は、リバースソースへのルートを宛先として設定します。
ここにあるいくつかのコメントへの小さな修正です。
SSL-VPNユーザーへのルートはカーネル/FIBに直接注入されており、get router info routing-table allでは表示されません。
get router info kernel
[…]
tab=254 vf=0 scope=0 type=1 proto=18 prio=10 0.0.0.0/0.0.0.0/0->10.212.134.200/29 pref=0.0.0.0 gwy=0.0.0.0 dev=17(ssl.root)
これは通常自動的に行われるので、なぜ失敗しているのかは答えがありません。
ライブSSL-VPNのデバッグを試しましたか?ユーザーにIPを割り当てる行があるので、何か役立つエラーを吐き出すかもしれません。
ありがとうございます。VPNクライアント(FortiClient)は、FortiGateへのルートが正しいです。ファイアウォールのドアストップでトラフィックを見ることができます。面白がってフルトンネルも試しましたが、同じ結果です。FGは「リバースパスチェック失敗」と言っています。
ポリシーベースルーティングは使用していません。
id=20085 trace_id=2251 func=print_pkt_detail line=5727 msg=“vd-root:0 received a packet(proto=17, 10.212.134.200:49827->172.16.0.7:53) from ssl.root.”
id=20085 trace_id=2251 func=init_ip_session_common line=5898 msg=“allocate a new session-15457d54”
id=20085 trace_id=2251 func=iprope_dnat_check line=5038 msg=“in-[ssl.root], out-”
id=20085 trace_id=2251 func=iprope_dnat_tree_check line=830 msg=“len=0”
id=20085 trace_id=2251 func=iprope_dnat_check line=5051 msg=“result: skb_flags-02000000, vid-0, ret-no-match, act-accept, flag-00000000”
id=20085 trace_id=2251 func=ip_route_input_slow line=2264 msg=“reverse path check fail, drop”