Für alle, die sich wundern, warum auch ohne “ssl.root –> internal”-Firewall Policy Traffic über den SSLVPN Tunnel geschickt werden kann:
Beginnend mit FortiOS v5.0 wurden zwei neue CLI Schalter eingeführt (, die aber scheinbar erst ab v5.0.2 so richtig funktionieren…):
config vpn ssl settings
set auto-tunnel-policy {enable | disable}
set auto-tunnel-static-route {enable | disable}
endauto-tunnel-policy: Enable automatic creation of policies for SSLVPN
auto-tunnel-static-route: Enable automatic creation of static routes for SSLVPN
Per default sind beide Schalter eingeschaltet. D.h., per default entfällt das “lästige” Einrichten der statischen Route für den SSLVPN IP-Addresspool und die zusätzlichen Firewall Policies für den SSLVPN Tunnel (“ssl.root –> internal”). Das ist zwar sehr praktisch, aber sobald man eine etwas komplexere Situation hat (mehrere Usergruppen pro SSLVPN-Tunnel etc.), muss man wieder auf die alten Settings zurück.
