ssl-vpnからのトラフィックがfortigateでipsecトンネルに入ることを許可します

私はあなたと同じ状況にあります。

これは私が試したものですが、機能しませんでした（すべてのIPは例であり、あなたの質問から引用したものです）：

仮想IP（192.168.10.200）へのNAT SSLVPN（10.41.41 .）からIPSEC（172.29.112。に向かうすべてのトラフィック）したがって、すべてのSSLVPNトラフィックは内部IPに変換されます。トンネルをうまく通過する必要があります。このようにして、変更されたIPSEC宛先を回避できましたが、機能しませんでした。

Alexが言ったように、唯一の方法は、両方のIPSEC側にSSLVPNネットワーク（10.41.41。*）を追加して、すべてのトラフィックが正常にルーティングされるようにすることです。

これと同じ状況が発生し、SSL.vpnインターフェイスからIPsecトンネルインターフェイスにポリシーを追加してから、IPsecトンネルインターフェイスからSSL.vpnインターフェイスにポリシーを追加することで修正しました。問題は、トラフィックが許可されるインターフェイスです。ポリシーで定義されていないインターフェイスにヘアピンすることはありません。

あなたの質問にはいくつかの情報が欠けています。

主に;

1. IPSECトンネル内のトラフィックをNATしますか
2. IPSECトンネルのもう一方の端のピアも管理していますか

IPSECトンネル内のトラフィックをNATしていないと仮定すると、これは簡単なチェックリストです。

10.41.41.xサブネットを関心のあるトラフィックに追加します

これは、10.41.41.xサブネットがIPSECトンネルを通過すると予想されることを示します。 IPSECトンネルの両端で、両方のデバイスで構成を変更する必要があります。これが適切に行われない場合、VPNはIPSECトンネルのフェーズ1を完了することさえできません。

ルートを追加

SSLVPNがクライアントに適切なルートを送信することを確認してください。これは、SSL VPNに接続するときに、クライアントが172.29.112.xへのルートを持っている必要があることを意味します。

同じことが172.29.112.xネットワークにも当てはまり、パケットを10.41.41.xにルーティングする場所を知る必要があります。

場合によっては、たとえば、IPSEC VPNの両方のピアがそれぞれのネットワークのデフォルトルーターでもある場合、それはmight必要ありません。

ポリシーを追加

私はフォーティネットの専門家ではありませんが、ほとんどのファイアウォールでは、ポリシーまたはACLを使用してVPNトンネル内のトラフィックを明示的に許可する必要があります。これは、IPSECトンネルとSSLVPN接続の両方に当てはまります。

私が言ったように、これはかなり漠然とした答えです（つまり、それらはポインタです）が、質問にはあまり詳細がないので、私が考えることができる最高のものです。