SSLVPN 터널 모드에서 클라이언트가 접속하면 SSLVPN 가상 인터페이스에 IP를 할당 받는데, 이를 내부 네트워크와 동일한 IP 대역으로 할당 하는 방법이다.
아래 구성도에서 내부 대역은 "192.168.39.0/24" 인데, SSLVPN 접속해서 할당 받는 대역은 "192.168.39.200~210" 할당하는 설정이다.
내부 네트워크와 SSL-VPN tunnel interface의 IP가 동일한 subnet임으로 이를 허용 하도록 설정한다.
# config system settings
set allow-subnet-overlap enable
end
Split-mode와 Full tunnel 모두 사용 가능하다.
사용자가 로그인하면 아래와 같이 IP를 할당 받고, 해당 IP로 통신한다.
이 상황에서 FortiGate의 kernel 라우팅 정보를 확인해보면, "192.168.39.200~210"에 대해 ssl.root로 경로를 확인 할 수 있다.
이와 같은 구성은 일반적인 구성이 아니기에 권장하지 않는다.
다만 꼭 사용해야 한다면 "192.168.39.200~210" IP가 다른 곳에서 사용 하지 못하도록 해야 하며, 해당 구성으로 다른 문제는 없는지 많은 테스트가 필요하다.
'FortiGate > SSLVPN' 카테고리의 다른 글
| Fortigate SSL-VPN ldap 연동 시 User 대소문자 구분 (0) | 2021.01.21 |
|---|---|
| 사용자 별로 SSLVPN address 대역을 다르게 할당하는 방법 (0) | 2021.01.21 |
| full tunnel에서 client의 로컬 네트워크 접근 제어 (0) | 2021.01.19 |
| FortiGate SSL-VPN log issue / 다른 VDOM log 표시 (0) | 2021.01.08 |
| 2개 이상의 WAN 인터페이스를 이용한 SSLVPN 접속 (0) | 2021.01.06 |
댓글