iphone / ipad 使用 FortiGate 連 IPSec VPN 通往 Internet 方法.

[chyiwen]

小弟剛剛成功設定了使用 Iphone/Ipad 使用 FortiGate 建立 IPSec VPN 通道.

Step by step 其實有點複雜 , 熟 FortiGate 的同好 , 詳細請參照下列網址 ,

http://kb.fortinet.com/kb/microsites...rnalId=FD31619

此網址中 , 只限於連至指定的 IP 網段 , 沒辦法通往 Internet ,
除非你在內網中再架一台 Proxy 伺服器來取得網頁.

不過還是有特殊方法可以通往 Internet ,
你可以新增一個 IP range , 然後指定 ipv4-split-include 為此 IP Range 就可以了.

命令列如下:

config firewall address
edit "all_all"
set type iprange
set end-ip 240.255.255.255
set start-ip 1.1.1.1
next
end

config vpn ipsec phase1-interface
set ipv4-split-include "all_all"
end

如此設定後 , iphone/ipad 就會自動把所有的網段都往此 fortigate 送 ,
就可以繞道上網了.

測試的 FortiGate OS 為 4.1.8

歡迎討論 FortiGate 設定.

[cly0917]

Fortinet KB裡的是有做split tunnel的, 所以iDevice連上後會只能連Fortigate的LAN,
若要把Fortigate當跳板的話, 可以參考拙作

[chyiwen]

我照著 cy 兄的方法 , iphone 依舊走自己的 internet 上網.

大概是我的版本不一樣.

[misryan]

二位前輩好,
小弟也是想讓ipad在外面可以VPN進fortigate LAN以及透過fortigate連網(因為有時候人在大陸)

小弟參考了二位前輩的說明與參考fortinet knowledge base進行設定後，還是有問題，狀況是這樣子的：
1.iPad有連上fortinet建立好VPN tunnel，ipad的狀態列有出現VPN的logo
2.ipad有取得fortinet給予的ip，在fortinet管理介面上也有看到tunnel建立完成。
3.ipad不能連上fortinet LAN中的任何伺服器
4.iPad也不能透過VPN上網

曾嘗試著加入chyiwen前輩在1樓說明的相關設定，可是還是沒解決目前的狀況。

懇請前輩們能不能可以給小弟一點方向，萬分感謝！！

=====================以下是我的設定=========================
config vpn ipsec phase1-interface

edit "IPSec-VPN.P1"

set type dynamic

set interface "wan1"

set dhgrp 2

set proposal 3des-sha1 aes128-sha1

set xauthtype auto

set mode-cfg enable

set authusrgrp "VPN User"

set ipv4-start-ip 172.30.2.20

set ipv4-end-ip 172.30.2.100

set ipv4-netmask 255.255.255.0

set ipv4-dns-server1 192.168.1.3

set ipv4-dns-server2 168.95.1.1

set ipv4-split-include "IPSecVPN"

set psksecret ENC ***********

next

end






config vpn ipsec phase2-interface

edit "IPSec-VPN.P2"

set keepalive enable

set phase1name "IPSec-VPN.P1"

set proposal 3des-sha1 aes128-sha1

set dhgrp 2

next

end





config firewall address


edit "IPSecVPN"

set type iprange

set end-ip 172.30.2.100

set start-ip 172.30.2.20

next

end



config firewall policy


edit 19

set srcintf "IPSec-VPN.P1"

set dstintf "wan1"

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "ANY"

next




edit 26

set srcintf "internal"

set dstintf "IPSec-VPN.P1"

set srcaddr "all"

set dstaddr "all"

set action accept

set schedule "always"

set service "ANY"

next

end

[chyiwen]

Sorry late reply late this post.

請把 policy 19 的 NAT 打勾。