Apr 13 2009

快速設定Fortigate SSL VPN

分類:硬體好軟 , 有 11,996 次瀏覽過 , 有 1,869 個機器人爬過

網路基本架構圖

其實,我對Fortinet 的防火牆設備有非常大的好感,尤其光手邊在惡搞的FG60B 也提供SSL VPN 功能,實在讓人覺得揪甘心啊~ /:D/

就算你的老闆出差到中國包二奶,也能透過SSL VPN 連回公司存取內部資料,甚至避開偉哉網路長城的封鎖,藉由台灣的線路正常瀏覽無名正妹相簿政經新聞及相關網站。或許,有人會說為什麼不用PPTP VPN,我個人認為PPTP  其實沒有想像中方便,尤其對於一般使用來說,光找出連線設定恐怕就有一定的複雜度,更何況無法預期身處的網路環境是否允許PPTP 封包通過。

至於,啟用的設定方式也很簡單,記得三大原則:
● VPN 使用者及群組的設定
● 防火牆Policy 的設定
● 路由設定

當然,這次還是拿FG60B(FortiOS 3.0 MR7)當範例:

1) 到VPN -> SSL,啟用SSL VPN。參考上方的網路架構圖,設定Tunnel IP 範圍為「192.168.254.1 至 192.168.254.50」。

由於我假設的內部網路為網域環境,所以在進階設定的DNS及WINS Server,都指定AD主機的IP。實務上,如果公司同樣有網域環境,強烈建議設定成跟內部網路環境一樣,在網芳連線上也比較不會有問題。
啟用SSL VPN

2) 到User -> Local 新增使用者。
新增使用者

本範例為建立一個使用者「sslvpn」於本機上。記得..密碼要設定啊!
新增sslvpn的使用者

3) 到User Groups -> 新增群組。
新增群組

範例所建立的群組名稱為「SSLVPN_GP」,設定SSL VPN 的Tunnel IP 範圍與先前設定一樣,為「192.168.254.1 至 192.168.254.50」。注意!類型需選擇「SSL_VPN」,並且將已經建立好的帳號「sslvpn」選取至Members 裡。

至於其他選項的功能,有興趣的人可以翻原廠文件:SSL VPN User Guide 3.0 MR7
建立SSVPN_GP的群組及加入使用者

4) 到Firewall -> Policy ,新增相關Policy。依據最上方的網路架構及設想可能的用途,VPN 進來的用戶端及內部網路必須能互相溝通,而且VPN用戶端可透過該設備上網。所以必須增加下列Policy:

● Wan1 -> Internal。注意!「Action」的類型請務必選擇「SSL-VPN」,並且允許「SSLVPN_GP」群組可使用SSL VPN。

其實,這條Policy 就是攸關使用者能否透過https存取及登入的設定,沒有建立這條就啥都別談了。
建立Wan 1 到Internal 的SSL VPN 登入

● Internal -> ssl.root。「ssl.root」指的就是SSL VPN 的網路環境位置,故要讓內部網路能存取到VPN 用戶端的資源,則必須建立相關Policy。
建立內部到VPN 端的Policy

● ssl.root -> Internal。這...不用特別解釋了吧...
建立VPN 端到內部的Policy

● ssl.root -> Wan 1。這點要注意的是,因為SSL VPN 用戶端在撥入後,需要透過Fortigate上網,所以務必勾選「NAT」,不然你就在內部網路玩小圈圈就好了。
建立VPN 端對外的Policy

完成後,除了原本就有的「Internal -> wan 1」,一共增加了四條Policy。Policy 總覽

5) 到Router -> Static,新增一筆Static Route。由於SSL VPN  的Tunnel IP Range 範例設定為192.168.254.[1-50],所以我就直接設定「192.168.254.0/255.255.255.0」。注意!Device 類別請記得選「ssl.root」。

你高興的話也可以不要新增啦,只是連上去會發現不能互通而已。
新增路由

以上就算是完成所有設定。

接著進行測試,請先確認Fortigate 的外部IP及SSL VPN 的Login Port。
預設SSL VPN 登入埠為10443

然後輸入「https://外部ip:10443」,就能看到登入畫面了。請記得加上「https」跟「埠號」,否則到死都連不上。
SSL VPN 登入畫面

如果是初次登入,在登入後應該會跳出安裝ActivX 的要求。想連SSL VPN 的話,乖乖裝就對啦!
安裝ActiveX

連接成功就會出現像下面這兩張圖一樣的訊息。
連接fortissl成功
連接訊息頁面

很讚吧!用HTTPS 網頁登入的方式就能完成SSL VPN 連線,就代表你的電腦只要能上網,就能輕鬆連回公司內部。

對~~關掉那個頁面,VPN 也就跟著斷了... /=.=/

所以,我個人強力推薦到Fortinet 技術支援網站下載SSL VPN 撥接軟體。(限定已註冊用戶)
各版本的SSL VPN Clinet 軟體

撥接方式更為簡單,只要預設的SSL VPN Login Port 沒有更動(預設為10443), 輸入IP 後連埠號都無須輸入,再鍵入帳號密碼選「Connect」,就能連上SSL VPN 囉!
SSL VPN Clinet 撥接畫面

就算不小心點到「X」,也只會縮到右小角的工具列中。
縮到工具列囉

上面教的步驟真的是快速設定,所以Policy 的Source 及Destination Address 都是設定「all」,而且連防護的Protection Profile 都沒加上。

如果對Fortigate 有一定熟悉度的人,我還是建議認真把相關防護設定好,不然哪天被玩很大就麻煩了。

下一篇再來討論「如何切割VPN通道」,也就是VPN 用戶端除了進公司內部網路的流量走VPN 通道,其餘都還是走原本的對外線路。應該沒人希望哪天老闆到荷蘭出訪看紅燈區的櫥窗女郎,上Internet 查資料時還要透過半個地球外的Fortigate 吧!?

相關參考文件:
Fortinet Knowledge Center - SSL VPN User Guide簡體版

閱讀相關文章:

 ▲閱讀較新的文章»» 設定Fortigate SSL VPN 分割通道
 ▼閱讀較舊的文章»» 設定Fortigate防火牆的PPPoE連線


加入書籤: HemiDemi MyShare Baidu Google Bookmarks Yahoo! My Web Del.icio.us Digg technorati furl 加入此網頁到:YouPush 加入此網頁到:你推我報

目前有 56 個回應 , 標籤:



有 56 個回應 在「快速設定Fortigate SSL VPN」的文章

  1. 1 樓 simaopig在 2009年 04月 17日 12:49:29 說

    这个东东好用吗?我用OPENVPN。。。

  2. 2 樓 simaopig在 2009年 04月 17日 12:52:02 說

    呃,FortiGate是啥东西?好晕啊。。

  3. 3 樓 AskaSu在 2009年 04月 18日 09:47:36 說

    Fortigate 是美国飞塔公司所出的防火墙系列,
    你可以参考看看他们的网站,
    我个人觉得他们家的产品设计对于中小企业的网管人员,
    算是非常有亲和力。

    至于SSL VPN则是一种藉由HTTPS通道及加密达成VPN连接的方法,
    详情可以参考维基百科-SSL VPN

  4. 4 樓 蘇雲瀚在 2009年 05月 15日 15:01:15 說

    您好,我嘗試照著您的方法設定SSL VPN,但是到了WEB PORTAL就沒辦法登入了,雖然有輸入了使用者名稱跟密碼,但是一直被告知 permission deny 被擋著不能進入,是因為沒有去安裝Certificate的關係嗎?

  5. 5 樓 AskaSu在 2009年 05月 15日 17:36:33 說

    我沒有安裝過什麼Certificate 耶!
    有試著再檢查一下使用者及群組的設定嗎?
    還有「ssl.root->wan1」那組Policy 務必把群組加入喔!

    另外,如果你是採Web方式登入,
    也請務必安裝跳出的ActiveX相關元件,
    否則一樣會失敗。

  6. 6 樓 ALEX在 2009年 06月 11日 14:09:23 說

    這篇文章對我太有幫助了,真的很感謝您
    我是透過SSL-VPN跟客戶的VPN連線的
    我想請問,如果客戶要開放某些網站讓VPN的用戶瀏覽
    該怎麼設定呢??是否可以指導一下
    如果不方便也沒關係,還是很感謝您這篇文章的幫助

  7. 7 樓 AskaSu在 2009年 06月 13日 09:57:42 說

    是要限制VPN進來的Client連往內部的網站還是外部的呢?
    應該是可以用Policy 及Address 的邏輯去限制... /:)/

  8. 8 樓 Victor在 2009年 06月 15日 16:54:28 說

    這個我試過了,很好用!
    IPSec容易在飯店使用時被BLOCK
    自從用了這個後,就不會有使用者跟我哭說VPN不能用。
    不過有一個壞處,就是帳號密碼容易清掉
    使用者又很懶,幾乎都忘記自己的帳號密碼!!

  9. 9 樓 AskaSu在 2009年 07月 14日 15:32:38 說

    關於今天Canker所問的4.03版SSL VPN問題,
    經過Kai的提醒,發現的確要先在VPN->SSL->Portal上,
    先設定一個Portal,這樣才有辦法建立可存取的VPN群組,
    其餘建立方式則跟這篇文章的設定一樣。

  10. 10 樓 canker在 2009年 07月 14日 22:34:58 說

    哈囉~~謝謝你不間斷的回應我的問題
    我的SSLVPN可以連線了
    真的很謝謝你

  11. 11 樓 新手MIS在 2009年 07月 23日 11:25:54 說

    請問一下
    我的下拉式選單沒有ssl.root
    是哪邊忘記設定了嗎?

  12. 12 樓 AskaSu在 2009年 07月 24日 09:19:46 說

    您可能要先檢查一下FG的運作模式是否在「Transparent」,
    該模式下是不會有「ssl.root 」這個介面的。

  13. 13 樓 新手MIS在 2009年 07月 24日 19:21:06 說

    不好意思
    我剛剛看了一下~
    我的操作模式是[NAT]耶~~

    HA 狀態 單機模式 [設定]
    主機名稱 FGT60B3908619346 [更改]
    韌體版本 Fortigate-60B 3.00-b5115(MR5 Patch 3)[更新]
    操作模式 NAT [更改]
    虛擬區域 關閉 [啟用]

  14. 14 樓 AskaSu在 2009年 07月 24日 23:11:54 說

    您要不要試試看更新韌體至MR6以上,
    因為我看原廠的說明文件至少都是MR6的版本。

  15. 15 樓 新手MIS在 2009年 07月 27日 09:04:07 說

    了解~~

    感謝回答唷~
    ^^

  16. 16 樓 ROGER在 2009年 07月 27日 15:28:09 說

    小弟按你的步驟做完..確實能PING到公司的伺服器...
    但...接著..怎麼讓它能存取伺服器裡的資料呢?
    我有建一個書簽.是指到伺服器的資料夾.
    但點入後.要求輸入帳號密碼(這應該是伺服器的吧).但輸入後..回應是"存取拒絕"

    該如何處理呢...感謝

  17. 17 樓 AskaSu在 2009年 07月 27日 22:53:39 說

    To ROGER

    不知道你說的書籤是不是在WebPortal上的設定呢?
    因為我沒有特別在上面增加書籤連結,
    而是讓使用者當作VPN撥入,
    等到撥入成功後就可以與內部環境作一般存取,
    所以目前沒辦法給您解決方法,
    有空我也會研究看看的。 :)

  18. 18 樓 ROGER在 2009年 07月 28日 10:59:48 說

    嗯.首先感謝你的回答.
    我的疑問就是在"等到撥入成功後就可以與內部環境作一般存取,"
    這是指.在客戶端的電腦中.網路上的芳鄰裡.會出現伺服端的網域嗎?

    或者是說..我要如何在撥入成功後.進入192.168.1.1(你的範例)裡的資料夾...從那進入呢?

    我試過在登入的網頁中.去PING 192.168.1.1.它的回應是可以到達.但我在DOS模式下去PING.卻是不通的

    謝謝

  19. 19 樓 valsily在 2009年 07月 28日 12:02:51 說

    如果你要透過網頁存取內部網路資源,可以用connection tool widget,支援SMB/CIFS, RDP, SSH, VNC, HTTP/HTTPS, TELNET, PING。大致上都夠用了,不過據我的測試結果,要使用connection tool,Portal的split tunneling 設定必須關閉。non split tunneling代表所有封包都會通過fortigate轉發,我常用這個模式連上第三方網頁,很方便。

    Connection tool 的網路芳鄰,用起來就像是網頁式的檔案總管。

    如果你想達到,client端直接使用網路芳鄰或各項應用程式存取內部資源,而不想使用網頁式的connection tool,可以打開portal的split tunneling設定,登入後利用tunnel mode widget連上fortigate,這時client端會自動安裝一個FortiClient SSL VPN adapter,並自動建立撥號連線撥上fortigate,跟你安裝SSL VPN client類似。撥通後,就可以直接使用一般工具,存取(firewall policy中有開放的)內部資源。

    官網討論區中的一篇討論,我覺得很不錯,照著他的步驟做,就會成功:

    http://support.fortinet.com/forum/tm.asp?m=44296&appid=&p=&mpage=1&key=&language=&tmode=&smode=&s=&cookieCheck=652866966

    另一個關鍵,就我的經驗,connection tool widget只能在non split tunneling模式下運作,而tunnel mode widget只能在split tunneling模式下運作,所以我建立了兩個portal應付不同的使用模式。

  20. 20 樓 valsily在 2009年 07月 28日 12:04:21 說

    站長,上面那段落落長的回應,我打了兩次,第一次沒備份,要送出回應的時候,驗證碼已經過期了...Orz..是懲罰我太囉嗦嗎?

  21. 21 樓 valsily在 2009年 07月 28日 12:05:48 說

    然後,落落長到連第一段講過的話,最後一段又重複了一遍,這症頭很嚴重...唉

  22. 22 樓 ROGER在 2009年 07月 28日 15:28:42 說

    valsily大大.方便給我你說的那網址的討論主題嗎?以便我用搜尋的.因為我直接點進去..跳不出你說的內容.感謝

  23. 23 樓 valsily在 2009年 07月 28日 22:27:05 說

    http://support.fortinet.com/forum/tm.asp?m=44296&appid=&p=&mpage=1&key=&language=&tmode=&smode=&s=#44296

    主題是"SSL VPN for Dummies like me",在VPN板,11/11/2008的文章

    我試了一下,VPN版需要註冊為論壇使用者並登入,才能存取,如果您先註冊並登入,然後在用上頭那個網址,應該就可以看到了。

    HTH

  24. 24 樓 AskaSu在 2009年 07月 29日 00:54:41 說

    To ROGER

    您可以改使用下面這個網址,如果沒有註冊並登入,就會看到錯誤訊息了
    http://support.fortinet.com/forum/tm.asp?m=44296

  25. 25 樓 seahawk在 2009年 08月 08日 12:13:33 說

    謝謝你的user guide,IP sec (2 remote sites), SSL VPN 都沒有問題,ssl vpn client 可以存取 server 的東西,兩個 remote sites 都可以互相存取,但是有一個問題就是 ssl vpn client 只能夠存取 dial in 那個local lan 的 servers, remote sites 的不行,請指點。

    e.g.
    A Local Lan 192.168.0.0
    B Remote 192.168.1.0
    C Remote 192.168.2.0
    ssl vpn 192.168.254.0

    A B C A -- OK
    ssl vpn A -- ok
    ssl vpn B -- fail
    ssl vpn c -- fail

    我覺得可能是routing 的問題?
    還需要加policy 嗎?

  26. 26 樓 AskaSu在 2009年 08月 11日 14:29:46 說

    不好意思,關於這部分的問題,
    我也曾經想過可能的解法,但還沒有時間實際測試過,
    或許過一陣子測完再跟您一起討論。

  27. 27 樓 JerryW在 2009年 11月 30日 17:21:34 說

    To seahawk:

    這個是路由問題.
    當你ping remote site時, 是回應destination host unknown還是connection time out?

    可以先在PC端打 route print, 查看192.168.1.0/24, 192.168.2.0/24是否可以往ssl vpn丟

    建議IPSec VPN使用Interface mode.
    然後在FortiGate static route將兩個remote site與ssl vpn的網段都定義好

    Policy部分
    要允許 ssl.root -> 兩個IPSec VPN介面的封包

    都設完發現不通, 可以查看interface的封包.
    例如在CLI console輸入:
    diag sniffer packet wan1 icmp
    diag sniffer packet wan2 icmp
    查看封包是否只有request沒有reply, 然後封包到哪裡就沒路走.

  28. 28 樓 garfield在 2009年 12月 05日 12:15:59 說

    拜讀文章,收獲頗豐,請教一下,fg400的vpn在win7是否無法使用,嚐試多次仍無法連接,只道是
    vpn tunnel client未安裝,勞煩,謝謝!

  29. 29 樓 AskaSu在 2009年 12月 07日 12:16:31 說

    Hi, Garfield

    我這邊用Win7測試SSLVPN連線到FG60、FG60B,
    都沒有發生你說的狀況。

    目前猜測你的原因有兩種可能:
    1. FG400韌體太舊,目前官方已經釋出到3.0 MR7 Patch7。
    2. SSLVPN元件未正常安裝。

    因為我這邊沒有FG400,所以也無法確認狀況,
    不過朋友公司那邊似乎有同機型,可以幫您問問看。

  30. 30 樓 AskaSu在 2009年 12月 07日 23:11:27 說

    Hi, Garfield
    我後來請教過友人,他公司也是跟你們同樣機型,
    但軔體版本為3.0 MR7 Patch 6,
    使用Win7用IE登入SSLVPN都沒有類似問題,
    希望上面資訊能對您有幫助。

  31. 31 樓 garfield在 2009年 12月 08日 12:17:03 說

    我的機器版本為patch1, 可能是這個原因,謝謝您的回答,再想辦法升級,再次感謝!

  32. 32 樓 梁羿翔在 2010年 02月 10日 07:50:09 說

    前輩您好:
    依照您的指導, 終於可以見到 VPN 的 Web 登入畫面了.唯獨一樣出現 4 樓 蘇先生的問題->Permission denied.

    在問與答中提及
    "要先在VPN->SSL->Portal上,
    先設定一個Portal,這樣才有辦法建立可存取的VPN群組,
    "

    請問 Portal 要如何設定呢? 在 v3.0 MR7 patch8 的版本下, 只能見到 "Portal message" 這樣的 字眼但沒有其餘選項可以設定.
    尚勞請前輩費心指點.
    非常謝謝您.

  33. 33 樓 AskaSu在 2010年 02月 11日 17:48:39 說

    不好意思,我這邊目前沒有使用v3.0 MR7 Patch 8的FG,
    如果機器還在保固內,我會推薦您向他們的技術人員尋求電話或郵件支援
    Fortinet 代理商的回覆處理速度算蠻快的喔。 /:)/

  34. 34 樓 Kenny在 2010年 04月 16日 00:12:16 說

    前輩您好:
    請問您是否有試過使用 SSL VPN的連線方式,讓 outlook 可以使用 Microsoft Exchange 的模式連線到Mail Server 進行收發信件的動作呢?

  35. 35 樓 AskaSu在 2010年 04月 23日 18:53:43 說

    To Kenny:
    不好意思,關於這個問題,
    我的確沒有測試到這一塊,
    我會找時間測試確認,
    再給您答覆。

  36. 36 樓 AskaSu在 2010年 05月 04日 16:09:05 說

    To Kenny:
    我針對兩種狀況的SSL VPN連線做了測試,
    給您參考看看:

    1. 本文的VPN Tunnel 模式
    是可以正常跟Exchange做收發存取的動作,
    甚至公司內部的網芳存取也是正常。

    2. 另一篇文章介紹的分割通道模式
    假設你的Exchange Server所建立的完整FQDN名稱為mail .abc.com.tw,
    然後因為有內外部DNS的關係,
    會造成建立VPN連線後,Mail Server連接時,
    優先解析出該FQDN的外部IP,結果就是無法正常用Outllok透過內部連結,
    等於還是走外部的方式,除非你的Exchange有完整建立「Outlook無所不在」的功能。

    但內部網路存取這方面倒是沒有其他狀況,
    除非該主機的FQDN也有內外部DNS的解析問題。

  37. 37 樓 navy在 2010年 05月 26日 17:59:19 說

    Dear蘇老:

    感謝您的教學讓我試出來了
    但是我找了一下午都找不到vpn client的軟體耶
    可以透露一下嗎
    謝謝

  38. 38 樓 AskaSu在 2010年 05月 28日 16:21:10 說

    To navy

    Fortinet 原廠的VPN Client 軟體要透過官方技術支援網站
    在註冊登入後,選擇「Download」->「Firmware Images」,
    在軔體下載頁面選擇「Fortigate」進入官方的FTP,
    再到較新版本軔體的目錄裡面找「SSL-VPN」資料夾,
    裡面大都會放置該軟體。

  39. 39 樓 tom在 2010年 05月 28日 16:41:11 說

    蘇大:請問一定要更新到MR6 才能做這SSL VPN嗎?
    我的是MR5 有別的辦法用MR5做嗎?

  40. 40 樓 AskaSu在 2010年 05月 28日 17:40:19 說

    To tom:

    我查了一下Fortigate的文件,
    發現有MR4版的SSl-VPN教學文件
    或許MR5也是可以完成的。

  41. 41 樓 tom在 2010年 05月 31日 09:31:43 說

    多謝蘇大 先來研究paper 有問題再提問您
    ^_^

  42. 42 樓 tom在 2010年 05月 31日 11:01:05 說

    蘇大:
    請問我已經有加入fortinet的會員 ~但是我要下載那邊的韌體跟vpn client 都沒有顯示可以下載的地方
    是否哪邊有錯呢?

  43. 43 樓 AskaSu在 2010年 06月 01日 20:50:35 說

    參考看看下面這張圖,進入Fortinet官方的FTP。

  44. 44 樓 tom在 2010年 06月 02日 15:17:57 說

    呵呵 蘇大
    我登入後 下載那邊都不見了= =怪了

  45. 45 樓 AskaSu在 2010年 06月 04日 09:32:59 說

    有先試著註冊你的FG設備嗎?
    不然打電話問看看台灣這邊的客服。 :)

  46. 46 樓 Sam在 2010年 06月 11日 17:53:37 說

    前輩您好:
    依照您的指導, 終於可以見到 VPN 的 Web 登入畫面了.唯獨一樣出現 4 樓和32 樓同樣的問題->Permission denied.

    在問與答中提及
    "要先在VPN->SSL->Portal上,
    先設定一個Portal,這樣才有辦法建立可存取的VPN群組,
    "

    請問 Portal 要如何設定呢?
    小弟是新手不知道要從何設定起 ~
    感謝 蘇大的指教 ~

  47. 47 樓 Owen在 2010年 06月 15日 17:12:12 說

    蘇老您好,
    我的情形是 WAN Port 是線路1(固定IP)
    SSLVPN 我是設定 DMZ port 接 線路2(PPPoE 撥接連線)。

    想要在 Tunnel 連線(非 Split Tunneling)時,讓 SSLVPN 連線可以由此 DMZ port 連出去Internet。
    一直無法設定成功。
    一定要讓它走 WAN Port 才行。

    Policy 設 ssl.root -> WAN 就 OK。Trace Route 經 Port 3 的 Gateway 出去 Internet 。
    Policy 設 ssl.root -> DMZ 就沒用。Trace Route 停在 Port 3 的 Gateway。
    神奇的是我整個 VPN 的設定跟 Port 3 都沒有關係。

    使用的 FortiOS 是 4.0MR2

  48. 48 樓 Owen在 2010年 06月 15日 17:30:40 說

    剛才試成功了,
    需加入一個 Policy Route,ssl.root->DMZ
    位址欄位都用預設值的 0.0.0.0/0.0.0.0 就可以成功的讓 SSLVPN 的用戶從連入的那條 PPPoE 線路上 Internet

  49. 49 樓 zack在 2010年 06月 25日 16:54:44 說

    蘇老大大!我有一台mac
    請問我該如何使用網頁連線至sslvpn

    因為我試過連線,網頁告訴我沒辦法安裝元件

  50. 50 樓 AskaSu在 2010年 06月 27日 10:31:15 說

    To zack

    Fortinet 技術網站有提供給Mac OS 用的SSL VPN Client 軟體,
    建議改安裝該軟體進行SSL VPN 的連線。

  51. 51 樓 sss在 2010年 07月 16日 14:22:57 說

    你好,現用型號是FORTIGATE 60(應是A吧)更新至3.0 MR7 PATCH1, 固定IP,

    DNS及DHCP改在SBS SERVER上,

    跟從閣下設定後,在INTERNET嘗試登入SSL VPN但沒回應,
    在LOG REPORT亦沒找到有RECORD.(OWA是可以的),亦嘗試改254網段和內網一致,
    不過亦是沒反應, 請問還可檢查什麼設定?

    這邊代理不見議UPGRADE PATCH,說硬體SUPPORT不好,就連VIRTUAL DOMAIN都不要開,(本應可SUPPORT 10個嘛),他們說要用這些功能要上100以上才好,但官網就不斷有新PATCH更新,因此不清楚是FIRMWARE VERSION有否影響.

  52. 52 樓 AskaSu在 2010年 07月 18日 09:57:03 說

    從Internet 登入SSL VPN後,
    有出現訊息要求安裝ActiveX 元件嗎?

    另外,不太懂你說的DHCP 改在Server 上的意思,
    在範例中是不需要設定DHCP 的。

    至於你的代理商為何不建議升級Patch,
    其實這部分讓我不太能理解,
    因為我的經驗是,真的有碰過某一版軔體的某個功能有問題,
    剛好又是我有需要用到的,
    直到下一版本才修正。

    如果你有在Fortigate Support 網站註冊過資料,
    可以到官網的軔體下載網站找Release Note,
    就能比較清楚新版本到底修正了哪些東西。

    而代理商說硬體支援不好,不知道是不是指Fortigate 60 (無A或B的尾碼)的效能?
    如果公司使用的人數很多,以你公司使用SBS Server 來預估,
    可能人數為30 至50 人以上,我也會覺得FG60 不夠用,
    再來就是FG60 的Last Date to Extend Maintenance Contracts 只到11/21/2012,
    會建議趁早換高階一點的機器。

  53. 53 樓 sss在 2010年 07月 18日 17:32:14 說

    應是60沒有a或b的,雖然現在可能是舊產品,但是這番說話是在剛買下這產品第一年上training時代理說,所以對有些設定出問題就不明白是否如代理所說有限制?我們只有10-20人左右,所以選擇這產品時已考慮其寬容度.

    沒有active x出現,是找不到network.

    內網ip是由sbs server分派,即enable sbserver dhcp功能,起初是方便client join domain,不知有沒有理解錯誤?

    剛看過及已升級至3.0 mr9,但到4.0已沒patch可upgrade,

  54. 54 樓 AskaSu在 2010年 07月 18日 22:49:00 說

    To sss:

    我會建議先參考小弟的步驟再試著一步步建立及檢查,
    SSL VPN 的網段也與內網切開,
    然後再確認Client 端在Internet 上是可以正常連接上SSL VPN,
    並且有取得SSL VPN 網段裡的IP,
    接著再去檢查路由及Policy的設定,
    這兩個部分是最容易發生鬼打牆。

  55. 55 樓 sss在 2010年 07月 19日 13:06:22 說

    那雖否在fortigate內DHCP-INTERNAL-RELAY-SERVERS先開啟一個新SERVER段給SSL-VPN tunnel ip網段?或在SBS內DHCP SERVER設定?

  56. 56 樓 sss在 2010年 07月 19日 14:59:05 說

    呵呵,SSL VPN畫面終於出現,原來之前有一OWA都行HTTPS PORT,將這POLICY關掉SSL VPN畫面就出現,不過用戶不能登入"Error:permssion denied",用戶是LOCAL USER,檢查密碼沒錯誤的

留 言 回 應

(若看不到驗證碼,請重新整理網頁。)