[硬體資訊]
中華電信1固 網路
fortinet 60E防火牆
[問題描述]
vpn設定完成
內部的兩個網段都可以使用forticlient連線成功
但是無法透過對外的固定IP從外部連線使用
[已嘗試過的方法]
1.使用中華電信的port forward指定到forti的ip
2.改由web vpn可以用對外ip看到頁面,但是http或是https指定port卻無法到forti vpn
3.嘗試使用php轉址到forti的ip
[其他線索]
網路的接線方式是
中華電信接到小烏龜上
小烏龜給一台主機對外ip
剩下都用小烏龜配發a網段
小烏龜留一個port接給forti
forti配發b網段

policy有設?

sslvpn應從外到內，所以要開的方向應是sslvpn to internal並且確定連的port號是否跟443隔開再確定連線使用著的portal，至少有相對應比如web對web，不然就先開full or tunnel可打fortigate sslvpn有相關影片如果可以把public ip設在fgt更好除錯或釐清

內對內的網段為什麼要用vpn?

內對內用VPN做什麼？

一般我們都會把443 port 留給透過https 連入fortigate用也就是您透過https搭配外部ip 進入管理介面用的sslvpn 我們會改用10443 port來區隔但通常系統的預設sslvpn port 也是443, 所以要改

看起來沒上線阿,直接拿筆電對接外線port測可通就是router問題啊,或是直接拿空port測不就行了?

forti是內網ip?

要先看Fortigate Wan有沒有能抓到固定IP

整個架構都怪阿，你真的懂？為啥小烏龜要做那些功能在跟後，再跟Forti串在一起？要這樣搞，就要對網路熟一點，用Forti做所有功能就好，故障排除也清楚方便先確認Forti的webvpn外部頁面可以連到能登入就沒問題了

若只單一網站對外，設定好NAT, 外部轉內部，再設好相關policies ，VPN連入後，連該網站也不該再繞出去一圈

代表WAN這段vpn tunnel有建立起來，連不到內網某設備就是policy，路由設定的問題了也沒人在用內部測vpn的，你卻內網走的不是路由而是vpntunnel嗎？你拿到的是vpn配發的ip嗎？你要從forti內測要改成interface mode，才會是獨立的

小烏龜往fg要設fg的lan跟sslvpn路由你打小烏龜的wan ip轉到FG PORT forward1就有成功最後就是把架構圖畫上來會更好，真的不常見小烏龜會會public ip設在上面，大多都是自己設備。然後一固這也很奇怪，通常一固指的是撥接式。然後又說把一對外IP給一主機用。 那你到底幾個外部IP?所以還是架構圖稍微畫一下畢竟好懂