四月 13 2009

快速設定Fortigate SSL VPN

分類:硬體好軟 , 有 105,922 次瀏覽

網路基本架構圖

其實,我對Fortinet 的防火牆設備有非常大的好感,尤其光手邊在惡搞的FG60B 也提供SSL VPN 功能,實在讓人覺得揪甘心啊~ /:D/

就算你的老闆出差到中國包二奶,也能透過SSL VPN 連回公司存取內部資料,甚至藉由台灣的線路正常瀏覽無名正妹相簿政經新聞及相關網站。或許,有人會說為什麼不用PPTP VPN,我個人認為PPTP  其實沒有想像中方便,尤其對於一般使用來說,光找出連線設定恐怕就有一定的複雜度,更何況無法預期身處的網路環境是否允許PPTP 封包通過。

至於,啟用的設定方式也很簡單,記得三大原則:
● VPN 使用者及群組的設定
● 防火牆Policy 的設定
● 路由設定

當然,這次還是拿FG60B(FortiOS 3.0 MR7)當範例:

1) 到VPN -> SSL,啟用SSL VPN。參考上方的網路架構圖,設定Tunnel IP 範圍為「192.168.254.1 至 192.168.254.50」。

由於我假設的內部網路為網域環境,所以在進階設定的DNS及WINS Server,都指定AD主機的IP。實務上,如果公司同樣有網域環境,強烈建議設定成跟內部網路環境一樣,在網芳連線上也比較不會有問題。
啟用SSL VPN

2) 到User -> Local 新增使用者。
新增使用者

本範例為建立一個使用者「sslvpn」於本機上。記得..密碼要設定啊!
新增sslvpn的使用者

3) 到User Groups -> 新增群組。
新增群組

範例所建立的群組名稱為「SSLVPN_GP」,設定SSL VPN 的Tunnel IP 範圍與先前設定一樣,為「192.168.254.1 至 192.168.254.50」。注意!類型需選擇「SSL_VPN」,並且將已經建立好的帳號「sslvpn」選取至Members 裡。

至於其他選項的功能,有興趣的人可以翻原廠文件:SSL VPN User Guide 3.0 MR7
建立SSVPN_GP的群組及加入使用者

4) 到Firewall -> Policy ,新增相關Policy。依據最上方的網路架構及設想可能的用途,VPN 進來的用戶端及內部網路必須能互相溝通,而且VPN用戶端可透過該設備上網。所以必須增加下列Policy:

● Wan1 -> Internal。注意!「Action」的類型請務必選擇「SSL-VPN」,並且允許「SSLVPN_GP」群組可使用SSL VPN。

其實,這條Policy 就是攸關使用者能否透過https存取及登入的設定,沒有建立這條就啥都別談了。
建立Wan 1 到Internal 的SSL VPN 登入

● Internal -> ssl.root。「ssl.root」指的就是SSL VPN 的網路環境位置,故要讓內部網路能存取到VPN 用戶端的資源,則必須建立相關Policy。
建立內部到VPN 端的Policy

● ssl.root -> Internal。這...不用特別解釋了吧...
建立VPN 端到內部的Policy

● ssl.root -> Wan 1。這點要注意的是,因為SSL VPN 用戶端在撥入後,需要透過Fortigate上網,所以務必勾選「NAT」,不然你就在內部網路玩小圈圈就好了。
建立VPN 端對外的Policy

完成後,除了原本就有的「Internal -> wan 1」,一共增加了四條Policy。Policy 總覽

5) 到Router -> Static,新增一筆Static Route。由於SSL VPN  的Tunnel IP Range 範例設定為192.168.254.[1-50],所以我就直接設定「192.168.254.0/255.255.255.0」。注意!Device 類別請記得選「ssl.root」。

你高興的話也可以不要新增啦,只是連上去會發現不能互通而已。
新增路由

以上就算是完成所有設定。

接著進行測試,請先確認Fortigate 的外部IP及SSL VPN 的Login Port。
預設SSL VPN 登入埠為10443

然後輸入「https://外部ip:10443」,就能看到登入畫面了。請記得加上「https」跟「埠號」,否則到死都連不上。
SSL VPN 登入畫面

如果是初次登入,在登入後應該會跳出安裝ActivX 的要求。想連SSL VPN 的話,乖乖裝就對啦!
安裝ActiveX

連接成功就會出現像下面這兩張圖一樣的訊息。
連接fortissl成功
連接訊息頁面

很讚吧!用HTTPS 網頁登入的方式就能完成SSL VPN 連線,就代表你的電腦只要能上網,就能輕鬆連回公司內部。

對~~關掉那個頁面,VPN 也就跟著斷了... /=.=/

所以,我個人強力推薦到Fortinet 技術支援網站下載SSL VPN 撥接軟體。(限定已註冊用戶)
各版本的SSL VPN Clinet 軟體

撥接方式更為簡單,只要預設的SSL VPN Login Port 沒有更動(預設為10443), 輸入IP 後連埠號都無須輸入,再鍵入帳號密碼選「Connect」,就能連上SSL VPN 囉!
SSL VPN Clinet 撥接畫面

就算不小心點到「X」,也只會縮到右小角的工具列中。
縮到工具列囉

上面教的步驟真的是快速設定,所以Policy 的Source 及Destination Address 都是設定「all」,而且連防護的Protection Profile 都沒加上。

如果對Fortigate 有一定熟悉度的人,我還是建議認真把相關防護設定好,不然哪天被玩很大就麻煩了。

下一篇再來討論「如何切割VPN通道」,也就是VPN 用戶端除了進公司內部網路的流量走VPN 通道,其餘都還是走原本的對外線路。應該沒人希望哪天老闆到荷蘭出訪看紅燈區的櫥窗女郎,上Internet 查資料時還要透過半個地球外的Fortigate 吧!?

相關參考文件:
Fortinet Knowledge Center - SSL VPN User Guide簡體版

Related Posts Plugin for WordPress, Blogger...

目前有 127 個回應 , 標籤:


目前有 127 個回應

  1. simaopig 說道:

    这个东东好用吗?我用OPENVPN。。。

  2. simaopig 說道:

    呃,FortiGate是啥东西?好晕啊。。

    • AskaSu 說道:

      Fortigate 是美国飞塔公司所出的防火墙系列,
      你可以参考看看他们的网站,
      我个人觉得他们家的产品设计对于中小企业的网管人员,
      算是非常有亲和力。

      至于SSL VPN则是一种藉由HTTPS通道及加密达成VPN连接的方法,
      详情可以参考维基百科-SSL VPN

  3. 蘇雲瀚 說道:

    您好,我嘗試照著您的方法設定SSL VPN,但是到了WEB PORTAL就沒辦法登入了,雖然有輸入了使用者名稱跟密碼,但是一直被告知 permission deny 被擋著不能進入,是因為沒有去安裝Certificate的關係嗎?

  4. AskaSu 說道:

    我沒有安裝過什麼Certificate 耶!
    有試著再檢查一下使用者及群組的設定嗎?
    還有「ssl.root->wan1」那組Policy 務必把群組加入喔!

    另外,如果你是採Web方式登入,
    也請務必安裝跳出的ActiveX相關元件,
    否則一樣會失敗。

  5. ALEX 說道:

    這篇文章對我太有幫助了,真的很感謝您
    我是透過SSL-VPN跟客戶的VPN連線的
    我想請問,如果客戶要開放某些網站讓VPN的用戶瀏覽
    該怎麼設定呢??是否可以指導一下
    如果不方便也沒關係,還是很感謝您這篇文章的幫助

    • AskaSu 說道:

      是要限制VPN進來的Client連往內部的網站還是外部的呢?
      應該是可以用Policy 及Address 的邏輯去限制... /:)/

  6. Victor 說道:

    這個我試過了,很好用!
    IPSec容易在飯店使用時被BLOCK
    自從用了這個後,就不會有使用者跟我哭說VPN不能用。
    不過有一個壞處,就是帳號密碼容易清掉
    使用者又很懶,幾乎都忘記自己的帳號密碼!!

  7. AskaSu 說道:

    關於今天Canker所問的4.03版SSL VPN問題,
    經過Kai的提醒,發現的確要先在VPN->SSL->Portal上,
    先設定一個Portal,這樣才有辦法建立可存取的VPN群組,
    其餘建立方式則跟這篇文章的設定一樣。

  8. canker 說道:

    哈囉~~謝謝你不間斷的回應我的問題
    我的SSLVPN可以連線了
    真的很謝謝你

  9. 新手MIS 說道:

    請問一下
    我的下拉式選單沒有ssl.root
    是哪邊忘記設定了嗎?

    • AskaSu 說道:

      您可能要先檢查一下FG的運作模式是否在「Transparent」,
      該模式下是不會有「ssl.root 」這個介面的。

  10. 新手MIS 說道:

    不好意思
    我剛剛看了一下~
    我的操作模式是[NAT]耶~~

    HA 狀態 單機模式 [設定]
    主機名稱 FGT60B3908619346 [更改]
    韌體版本 Fortigate-60B 3.00-b5115(MR5 Patch 3)[更新]
    操作模式 NAT [更改]
    虛擬區域 關閉 [啟用]

    • AskaSu 說道:

      您要不要試試看更新韌體至MR6以上,
      因為我看原廠的說明文件至少都是MR6的版本。

  11. 新手MIS 說道:

    了解~~

    感謝回答唷~
    ^^

  12. ROGER 說道:

    小弟按你的步驟做完..確實能PING到公司的伺服器...
    但...接著..怎麼讓它能存取伺服器裡的資料呢?
    我有建一個書簽.是指到伺服器的資料夾.
    但點入後.要求輸入帳號密碼(這應該是伺服器的吧).但輸入後..回應是"存取拒絕"

    該如何處理呢...感謝

  13. AskaSu 說道:

    To ROGER

    不知道你說的書籤是不是在WebPortal上的設定呢?
    因為我沒有特別在上面增加書籤連結,
    而是讓使用者當作VPN撥入,
    等到撥入成功後就可以與內部環境作一般存取,
    所以目前沒辦法給您解決方法,
    有空我也會研究看看的。 :)

  14. ROGER 說道:

    嗯.首先感謝你的回答.
    我的疑問就是在"等到撥入成功後就可以與內部環境作一般存取,"
    這是指.在客戶端的電腦中.網路上的芳鄰裡.會出現伺服端的網域嗎?

    或者是說..我要如何在撥入成功後.進入192.168.1.1(你的範例)裡的資料夾...從那進入呢?

    我試過在登入的網頁中.去PING 192.168.1.1.它的回應是可以到達.但我在DOS模式下去PING.卻是不通的

    謝謝

  15. valsily 說道:

    如果你要透過網頁存取內部網路資源,可以用connection tool widget,支援SMB/CIFS, RDP, SSH, VNC, HTTP/HTTPS, TELNET, PING。大致上都夠用了,不過據我的測試結果,要使用connection tool,Portal的split tunneling 設定必須關閉。non split tunneling代表所有封包都會通過fortigate轉發,我常用這個模式連上第三方網頁,很方便。

    Connection tool 的網路芳鄰,用起來就像是網頁式的檔案總管。

    如果你想達到,client端直接使用網路芳鄰或各項應用程式存取內部資源,而不想使用網頁式的connection tool,可以打開portal的split tunneling設定,登入後利用tunnel mode widget連上fortigate,這時client端會自動安裝一個FortiClient SSL VPN adapter,並自動建立撥號連線撥上fortigate,跟你安裝SSL VPN client類似。撥通後,就可以直接使用一般工具,存取(firewall policy中有開放的)內部資源。

    官網討論區中的一篇討論,我覺得很不錯,照著他的步驟做,就會成功:

    http://support.fortinet.com/forum/tm.asp?m=44296&appid=&p=&mpage=1&key=&language=&tmode=&smode=&s=&cookieCheck=652866966

    另一個關鍵,就我的經驗,connection tool widget只能在non split tunneling模式下運作,而tunnel mode widget只能在split tunneling模式下運作,所以我建立了兩個portal應付不同的使用模式。

  16. valsily 說道:

    站長,上面那段落落長的回應,我打了兩次,第一次沒備份,要送出回應的時候,驗證碼已經過期了...Orz..是懲罰我太囉嗦嗎?

  17. valsily 說道:

    然後,落落長到連第一段講過的話,最後一段又重複了一遍,這症頭很嚴重...唉

  18. ROGER 說道:

    valsily大大.方便給我你說的那網址的討論主題嗎?以便我用搜尋的.因為我直接點進去..跳不出你說的內容.感謝

  19. valsily 說道:

    http://support.fortinet.com/forum/tm.asp?m=44296&appid=&p=&mpage=1&key=&language=&tmode=&smode=&s=#44296

    主題是"SSL VPN for Dummies like me",在VPN板,11/11/2008的文章

    我試了一下,VPN版需要註冊為論壇使用者並登入,才能存取,如果您先註冊並登入,然後在用上頭那個網址,應該就可以看到了。

    HTH

  20. seahawk 說道:

    謝謝你的user guide,IP sec (2 remote sites), SSL VPN 都沒有問題,ssl vpn client 可以存取 server 的東西,兩個 remote sites 都可以互相存取,但是有一個問題就是 ssl vpn client 只能夠存取 dial in 那個local lan 的 servers, remote sites 的不行,請指點。

    e.g.
    A Local Lan 192.168.0.0
    B Remote 192.168.1.0
    C Remote 192.168.2.0
    ssl vpn 192.168.254.0

    A B C A -- OK
    ssl vpn A -- ok
    ssl vpn B -- fail
    ssl vpn c -- fail

    我覺得可能是routing 的問題?
    還需要加policy 嗎?

    • AskaSu 說道:

      不好意思,關於這部分的問題,
      我也曾經想過可能的解法,但還沒有時間實際測試過,
      或許過一陣子測完再跟您一起討論。

  21. JerryW 說道:

    To seahawk:

    這個是路由問題.
    當你ping remote site時, 是回應destination host unknown還是connection time out?

    可以先在PC端打 route print, 查看192.168.1.0/24, 192.168.2.0/24是否可以往ssl vpn丟

    建議IPSec VPN使用Interface mode.
    然後在FortiGate static route將兩個remote site與ssl vpn的網段都定義好

    Policy部分
    要允許 ssl.root -> 兩個IPSec VPN介面的封包

    都設完發現不通, 可以查看interface的封包.
    例如在CLI console輸入:
    diag sniffer packet wan1 icmp
    diag sniffer packet wan2 icmp
    查看封包是否只有request沒有reply, 然後封包到哪裡就沒路走.

  22. garfield 說道:

    拜讀文章,收獲頗豐,請教一下,fg400的vpn在win7是否無法使用,嚐試多次仍無法連接,只道是
    vpn tunnel client未安裝,勞煩,謝謝!

    • AskaSu 說道:

      Hi, Garfield
      我後來請教過友人,他公司也是跟你們同樣機型,
      但軔體版本為3.0 MR7 Patch 6,
      使用Win7用IE登入SSLVPN都沒有類似問題,
      希望上面資訊能對您有幫助。

  23. AskaSu 說道:

    Hi, Garfield

    我這邊用Win7測試SSLVPN連線到FG60、FG60B,
    都沒有發生你說的狀況。

    目前猜測你的原因有兩種可能:
    1. FG400韌體太舊,目前官方已經釋出到3.0 MR7 Patch7。
    2. SSLVPN元件未正常安裝。

    因為我這邊沒有FG400,所以也無法確認狀況,
    不過朋友公司那邊似乎有同機型,可以幫您問問看。

  24. garfield 說道:

    我的機器版本為patch1, 可能是這個原因,謝謝您的回答,再想辦法升級,再次感謝!

  25. 梁羿翔 說道:

    前輩您好:
    依照您的指導, 終於可以見到 VPN 的 Web 登入畫面了.唯獨一樣出現 4 樓 蘇先生的問題->Permission denied.

    在問與答中提及
    "要先在VPN->SSL->Portal上,
    先設定一個Portal,這樣才有辦法建立可存取的VPN群組,
    "

    請問 Portal 要如何設定呢? 在 v3.0 MR7 patch8 的版本下, 只能見到 "Portal message" 這樣的 字眼但沒有其餘選項可以設定.
    尚勞請前輩費心指點.
    非常謝謝您.

    • AskaSu 說道:

      不好意思,我這邊目前沒有使用v3.0 MR7 Patch 8的FG,
      如果機器還在保固內,我會推薦您向他們的技術人員尋求電話或郵件支援
      Fortinet 代理商的回覆處理速度算蠻快的喔。 /:)/

  26. Kenny 說道:

    前輩您好:
    請問您是否有試過使用 SSL VPN的連線方式,讓 outlook 可以使用 Microsoft Exchange 的模式連線到Mail Server 進行收發信件的動作呢?

    • AskaSu 說道:

      To Kenny:
      不好意思,關於這個問題,
      我的確沒有測試到這一塊,
      我會找時間測試確認,
      再給您答覆。

    • AskaSu 說道:

      To Kenny:
      我針對兩種狀況的SSL VPN連線做了測試,
      給您參考看看:

      1. 本文的VPN Tunnel 模式
      是可以正常跟Exchange做收發存取的動作,
      甚至公司內部的網芳存取也是正常。

      2. 另一篇文章介紹的分割通道模式
      假設你的Exchange Server所建立的完整FQDN名稱為mail .abc.com.tw,
      然後因為有內外部DNS的關係,
      會造成建立VPN連線後,Mail Server連接時,
      優先解析出該FQDN的外部IP,結果就是無法正常用Outllok透過內部連結,
      等於還是走外部的方式,除非你的Exchange有完整建立「Outlook無所不在」的功能。

      但內部網路存取這方面倒是沒有其他狀況,
      除非該主機的FQDN也有內外部DNS的解析問題。

  27. navy 說道:

    Dear蘇老:

    感謝您的教學讓我試出來了
    但是我找了一下午都找不到vpn client的軟體耶
    可以透露一下嗎
    謝謝

    • AskaSu 說道:

      To navy

      Fortinet 原廠的VPN Client 軟體要透過官方技術支援網站
      在註冊登入後,選擇「Download」->「Firmware Images」,
      在軔體下載頁面選擇「Fortigate」進入官方的FTP,
      再到較新版本軔體的目錄裡面找「SSL-VPN」資料夾,
      裡面大都會放置該軟體。

  28. tom 說道:

    蘇大:請問一定要更新到MR6 才能做這SSL VPN嗎?
    我的是MR5 有別的辦法用MR5做嗎?

    • AskaSu 說道:

      To tom:

      我查了一下Fortigate的文件,
      發現有MR4版的SSl-VPN教學文件
      或許MR5也是可以完成的。

  29. tom 說道:

    多謝蘇大 先來研究paper 有問題再提問您
    ^_^

  30. tom 說道:

    蘇大:
    請問我已經有加入fortinet的會員 ~但是我要下載那邊的韌體跟vpn client 都沒有顯示可以下載的地方
    是否哪邊有錯呢?

    • AskaSu 說道:

      參考看看下面這張圖,進入Fortinet官方的FTP。

  31. tom 說道:

    呵呵 蘇大
    我登入後 下載那邊都不見了= =怪了

    • AskaSu 說道:

      有先試著註冊你的FG設備嗎?
      不然打電話問看看台灣這邊的客服。 :)

  32. Sam 說道:

    前輩您好:
    依照您的指導, 終於可以見到 VPN 的 Web 登入畫面了.唯獨一樣出現 4 樓和32 樓同樣的問題->Permission denied.

    在問與答中提及
    "要先在VPN->SSL->Portal上,
    先設定一個Portal,這樣才有辦法建立可存取的VPN群組,
    "

    請問 Portal 要如何設定呢?
    小弟是新手不知道要從何設定起 ~
    感謝 蘇大的指教 ~

  33. Owen 說道:

    蘇老您好,
    我的情形是 WAN Port 是線路1(固定IP)
    SSLVPN 我是設定 DMZ port 接 線路2(PPPoE 撥接連線)。

    想要在 Tunnel 連線(非 Split Tunneling)時,讓 SSLVPN 連線可以由此 DMZ port 連出去Internet。
    一直無法設定成功。
    一定要讓它走 WAN Port 才行。

    Policy 設 ssl.root -> WAN 就 OK。Trace Route 經 Port 3 的 Gateway 出去 Internet 。
    Policy 設 ssl.root -> DMZ 就沒用。Trace Route 停在 Port 3 的 Gateway。
    神奇的是我整個 VPN 的設定跟 Port 3 都沒有關係。

    使用的 FortiOS 是 4.0MR2

  34. Owen 說道:

    剛才試成功了,
    需加入一個 Policy Route,ssl.root->DMZ
    位址欄位都用預設值的 0.0.0.0/0.0.0.0 就可以成功的讓 SSLVPN 的用戶從連入的那條 PPPoE 線路上 Internet

  35. zack 說道:

    蘇老大大!我有一台mac
    請問我該如何使用網頁連線至sslvpn

    因為我試過連線,網頁告訴我沒辦法安裝元件

  36. AskaSu 說道:

    To zack

    Fortinet 技術網站有提供給Mac OS 用的SSL VPN Client 軟體,
    建議改安裝該軟體進行SSL VPN 的連線。

  37. sss 說道:

    你好,現用型號是FORTIGATE 60(應是A吧)更新至3.0 MR7 PATCH1, 固定IP,

    DNS及DHCP改在SBS SERVER上,

    跟從閣下設定後,在INTERNET嘗試登入SSL VPN但沒回應,
    在LOG REPORT亦沒找到有RECORD.(OWA是可以的),亦嘗試改254網段和內網一致,
    不過亦是沒反應, 請問還可檢查什麼設定?

    這邊代理不見議UPGRADE PATCH,說硬體SUPPORT不好,就連VIRTUAL DOMAIN都不要開,(本應可SUPPORT 10個嘛),他們說要用這些功能要上100以上才好,但官網就不斷有新PATCH更新,因此不清楚是FIRMWARE VERSION有否影響.

  38. AskaSu 說道:

    從Internet 登入SSL VPN後,
    有出現訊息要求安裝ActiveX 元件嗎?

    另外,不太懂你說的DHCP 改在Server 上的意思,
    在範例中是不需要設定DHCP 的。

    至於你的代理商為何不建議升級Patch,
    其實這部分讓我不太能理解,
    因為我的經驗是,真的有碰過某一版軔體的某個功能有問題,
    剛好又是我有需要用到的,
    直到下一版本才修正。

    如果你有在Fortigate Support 網站註冊過資料,
    可以到官網的軔體下載網站找Release Note,
    就能比較清楚新版本到底修正了哪些東西。

    而代理商說硬體支援不好,不知道是不是指Fortigate 60 (無A或B的尾碼)的效能?
    如果公司使用的人數很多,以你公司使用SBS Server 來預估,
    可能人數為30 至50 人以上,我也會覺得FG60 不夠用,
    再來就是FG60 的Last Date to Extend Maintenance Contracts 只到11/21/2012,
    會建議趁早換高階一點的機器。

  39. sss 說道:

    應是60沒有a或b的,雖然現在可能是舊產品,但是這番說話是在剛買下這產品第一年上training時代理說,所以對有些設定出問題就不明白是否如代理所說有限制?我們只有10-20人左右,所以選擇這產品時已考慮其寬容度.

    沒有active x出現,是找不到network.

    內網ip是由sbs server分派,即enable sbserver dhcp功能,起初是方便client join domain,不知有沒有理解錯誤?

    剛看過及已升級至3.0 mr9,但到4.0已沒patch可upgrade,

  40. AskaSu 說道:

    To sss:

    我會建議先參考小弟的步驟再試著一步步建立及檢查,
    SSL VPN 的網段也與內網切開,
    然後再確認Client 端在Internet 上是可以正常連接上SSL VPN,
    並且有取得SSL VPN 網段裡的IP,
    接著再去檢查路由及Policy的設定,
    這兩個部分是最容易發生鬼打牆。

  41. sss 說道:

    那雖否在fortigate內DHCP-INTERNAL-RELAY-SERVERS先開啟一個新SERVER段給SSL-VPN tunnel ip網段?或在SBS內DHCP SERVER設定?

  42. sss 說道:

    呵呵,SSL VPN畫面終於出現,原來之前有一OWA都行HTTPS PORT,將這POLICY關掉SSL VPN畫面就出現,不過用戶不能登入"Error:permssion denied",用戶是LOCAL USER,檢查密碼沒錯誤的

  43. hsu32 說道:

    前輩:

    我依照您的設定一切都很正常,連線也已經建立了,IP也抓到了,但是就是不能上網,不知道是什麼問題,抓到的IP和Gateway是同一個IP這樣

    • AskaSu 說道:

      Hi, hsu32

      不能上網是指無法連到Internet 嗎?
      如果建立SSLVPN 連線後,
      確認可以跟企業內部做正常通訊,
      那麼會建議先檢查路由及ssl.root -> Wan 的Policy 是否設定正確。

  44. Rory 說道:

    Hi AskaSu,
    請教一下...
    如果我想讓Client連上VPN後取得的IP是跟我實際內部網段是不同的 但又可互通...
    那我該如何修改或設定??
    例如:
    內部網段:192.168.1.0/24
    VPN網段:192.168.10.0/24
    謝謝

    • AskaSu 說道:

      Hi, Rory
      你的想法是可以完成的,
      其實文中的架構跟說明就是在不同網段,
      參考一下改成你要的環境設定就好了。

  45. pacman 說道:

    這陣子300A的LOG記錄檔發現,有不明的IP嘗試登入
    209.62.29.90 211.38.171.75 173.201.45.213 222.76.149.201

    請問該如何處理?

  46. Rory 說道:

    Hi,AskaSu
    謝謝您的幫忙...
    我的機器的FB50 4.0的...
    照您說的這樣設定是可以...
    不過目前還有些問題 再跟您請教一下...
    內部網段:192.168.1.0/24
    VPN網段:192.168.10.0/24
    但我從VPN進來後... 嘗試Ping[192.168.1.0/24]的內網
    卻出現有些內網機器Ping得到 有些機器卻不行...
    不曉得這會是哪邊出問題?

  47. 呆呆怡 說道:

    蘇老你好
    感謝你的教學,淺顯易懂....
    但是....
    我依照這樣的設定後...
    公司的防火牆還是沒辦法正常的SSLVPN@@"
    好怪....登入一直出現錯誤!!
    在瀏覽器中登入後會出現"錯誤:允許拒絕"
    若用forticlient會出現
    "Unable to logon to the server. Your user name or password may not be configured properly for this connection."
    會不會是因為我家防火牆太舊了,很多服務都已經過期了呢??
    型號是60
    韌體版本 Fortigate-60 3.00-b0753(MR7 Patch 9)
    麻煩指點一下小尼子....甘溫哈....

  48. AskaSu 說道:

    Hi, 呆呆怡

    如果你用Web也無法登入的話,
    就有可能是設定上的問題,
    因為我公司也有 FG60 的設備,
    是可以正常使用 SSVPN 沒問題的。

    假使沒有繼續跟 Fortinet 原廠簽維護,
    只是會無法讓防火牆自動更新 AV/IPS,
    並不會造成相關服務失效。

  49. mango 說道:

    蘇老您好~我用這個方法設定fortigate 80c
    有一些地方不一樣~
    但設定完後在網頁的登入畫面輸入使用者名稱和密碼後
    一直出現錯誤:允許拒絕的訊息~
    想請問一下是使用者驗證錯誤的問題?
    還是我還有其他設定有問題?

    • AskaSu 說道:

      Hi, Mango

      不知道你說的有些不一樣是指什麼?
      FG 軔體版本是 4.0 以上嗎?
      因為我手邊沒有 4.0 以上的 FG,
      或許參考看看 Fortinet 官方關於 SSL VPN 的 4.0 MR2 文件
      可能會對您有幫助。 :)

  50. hsu32 說道:

    前輩:

    我是53樓的,我照你的設定設玩連線都有出現,我到FORTIGATE上也有看到VPN連線中,但是我CLIENT用WEB登入VPN那個畫面裡有一個接收和傳送的流量,傳送的資料很多但是接收的資料很少,CLIENT端上網也不行,Ping168.95.1.1也沒回應,不知道問題出在哪裡。

  51. hsu32 說道:

    補充一下如果改用分割通道則可正常上網,但是仍然連不到FORTIGATE所在的電腦設備。

  52. AskaSu 說道:

    Hi, hsu32

    不知道在建立連線後,
    用戶端是否可以 Ping 得到 FG 的外部 IP 或內部 IP 呢?
    如果這部份都正常,但還是連不到內部電腦或轉跳至 Internet,
    建議從路由及 Policy 檢查起。

  53. hsu32 說道:

    連線後PING不到Fortigate端內部的電腦設備,也PING不到Fortigate外部網站的IP,如果改成分割通道後,就能PING得到Forgate外部的IP,但是內部設備的IP還是沒辦法PING到。

  54. omatic 說道:

    我用forticlient一樣會出現
    "Unable to logon to the server. Your user name or password may not be configured properly for this connection.(-12)"

    但是我使用IE開SSLVPN網頁可以正常登入並使用,但是因為網頁有時後會不定時斷線,感覺用forticlient可能會比較穩,但是就會一直出現上面的錯誤無法使用,也找不到相關文章解決,不知道有沒有人知道原因,謝謝^^

  55. ch 說道:

    您好:
    我依照上面設定遇到一些問題,就是ssl vpn可以正常連線
    但是連線後無法正常對外,看所有設定與教學一樣
    可是就是無法連線

  56. Kanas 說道:

    Hello:
    請問WAN2有一條IPSEC Tunnel 也有開放SSL VPN
    SSL VPN確認可以連入及訪問內部網段
    但無法訪問到IPSEC Tunnel 對邊的網段。

    • AskaSu 說道:

      To Kanas

      我沒有這樣做過,
      但我會朝路由及 Policy 的設定方向,
      試著找出解決問題的可能。

      或者,如果你的 FG 仍在保固內,
      直接跟官方客服聯繫,
      也會很快得到回覆喔。

  57. jim 說道:

    請問一下,SSL VPN撥入後可以用WINS解析LAN的主機嗎?

  58. AskaSu 說道:

    To Jim

    只要正確給予WINS的設定,是可以的喔 :)

  59. david 說道:

    蘇老, 抱歉打擾你, 這邊想跟你請教一下, 在 fortigate 設備上面, internal, ssl.root, wan1, wan2 分別是代表四個 Subnet 對嗎??

  60. AskaSu 說道:

    Hi, David

    我會覺得這四個應該要用網路介面去看,
    如果要用 Subnet 去解讀似乎也不是不行 :)

  61. Gary 說道:

    你好

    跟從閣下設定方法可用ssl_vpn從外連入網絡,現用是fortigate 60,有台sbs2003伺服器負責dchp.但今月再從外連網,打完登入帳戶及密碼後出現以下訊息"error: permission denied".過新用戶.情況一樣.請問出現什麼問題?

  62. imsqfg 說道:

    您好
    跟著您的步驟做到Internal -> ssl.root時
    找不到ssl.root可以選擇
    不知可否為小弟解惑一下,是否我有那邊沒設定正確?

    韌體版本 Fortigate-60B 3.00-b5115(MR5 Patch 3)
    感謝您

  63. AskaSu 說道:

    Hi, Gary

    你的帳密部分是由什麼方式做驗證呢?

  64. AskaSu 說道:

    Hi, imsqfg

    建議再檢查一下先前的 SSL 設定是否正確。

  65. Max 說道:

    Hi,

    不知蘇老是否用過iPad連SSL VPN,
    小弟試了之後莫名的不成功,不知是否有什麼小地方需要設定.

    thanks.
    Max

    • AskaSu 說道:

      Hi, Mark

      不好意思,小弟沒有 iPad,所以沒有測試過這塊,
      會比較建議您直接詢問 Fortigate 原廠或代理商。

  66. ahhua 說道:

    hi AskaSu,

    我现在用200b设定SSL VPN,不过forticlient总是出现 "Unable to logon to the server. Your user name or password may not be configured properly for this connection.(-12)" 用IE也是出现permission denied 请问我要注意哪里的设定。

    谢谢。

    • AskaSu 說道:

      Hi, ahhua

      建議再檢查一下 VPN 的群組及帳號密碼設定。

  67. Daniel 說道:

    您好。

    我想詢問60B SSL VPN採用網頁方式做VPN連線的方式,是不是在windows 7下面無法正常連結?

    是防火牆本身的限制,還是OS的關係?

    謝謝。

  68. AskaSu 說道:

    Hi, Daniel

    希望這篇 Fortinet 的 KB 能對您有幫助:
    FortiOS and SSL VPN Web Mode with Internet Explorer 9

  69. Sam 說道:

    您好,
    因小弟是第一次接觸Fortigate 的防火牆,公司的型號是60,想請教此款產品能否針對單台電腦設定網頁過濾的功能,該如何設定呢,還請先進指導,謝謝。

    • AskaSu 說道:

      理論上是可以的,
      我會先在Address中設定該電腦的IP,
      然後再到Policy中啟用相關設定及指定該電腦,
      還有務必記得優先順序,否則會套用失敗。

  70. YSL 說道:

    您好
    想請教一下我有一台FortiGate60B,開機後無法使用,使用console現發現它開機死於,Reading boot image 1791503 bytes. crc error 就掛了,這各有方法可自救嗎?
    非常感謝你抽空回答.

    • AskaSu 說道:

      這個狀況我以前遇過,跟廠商聯繫的結果是ROM壞掉,
      只要一從那個ROM啟動Firmware就掛掉,
      因為在保固內,最後還是報修請廠商處理。

      不過網路上也有查到一篇文章,希望能對您有幫助:
      CRC Error on Fortigate

    • valsily 說道:

      其實開機出現CRC error不一定要送廠,透過console先format boot device然後透過tftp重新上傳韌體就可以了。

      一般會出這種錯,不是儲存ROM的flash有bad sector,就是不正常關機。

      • YSL 說道:

        非常感謝,已經成功將它復原了,當了多年的磚塊終於修好了.

  71. sct 說道:

    設定完成,但是https://xx.xx.xx.xx:10443,
    會先出現一個憑證無效,點選仍要連線後,就出現無法顯示網頁,
    也就是登入畫面都出不來。
    XP IE8也是一樣,可能是哪裡有問題?

    • AskaSu 說道:

      你的狀況我好像有遇過,是4.0版的韌體嗎?
      我記得後來是檢查設定才解決狀況。

      • sct 說道:

        是的
        FG-110C
        4.0

        請問要檢查哪裡?

    • pgx 說道:

      你好,我手邊也一台FG60B也是有相同的情形,請問你解決這個問題了嗎?

      • sct 說道:

        解決了,升級韌體(v4.0,build0632,120705 (MR3 Patch 8) )就搞定了!

  72. David 說道:

    你好,

    請問一下,我設置完Fortigate 200A SSLVPN設置,在網頁連線時,一開始有出現"此網站的安全性憑證畫面",但按下繼續瀏此網站後,就沒show出帳密畫面,請問這是什麼問題?麻煩指導一下,謝謝!!

    • AskaSu 說道:

      有試過其他瀏覽器也同樣沒有登入畫面嗎?

  73. RFWu 說道:

    您好:

    我們正在用 fortigate 80c ,但,系統>網路>dns數據庫 找不到,不知能否幫解惑一下

    就是 : 系統>網路 只剩下 介面,區域,選項,網頁代理伺服器

    謝謝

    • 大頭 說道:

      請至 系統管理(最上層選單項目)→管理員設置→管理參數設定→在GUI上顯示項目
      勾選方格 DNS 資料庫 項目,按下採用按鈕即可

  74. Dennis 說道:

    請問一下,首先很感謝您這邊文章非常的棒

    但我還有一個設定使用設不出來,因為我有內部有兩個interface,目前已經可以連到internal1了
    但是要如何才能連到internal2?

    • AskaSu 說道:

      不好意思,我沒有做過類似的環境設定,
      但我應該會先從 Policy 及路由下手檢查起。

  75. 說道:

    請問一下我的SSLVPN用網頁方式可以登入,但是用fortinet ssl vpn client軟體連線登入卻出現unable to logon to server . your user name or password may not be configured propery for this connection(-12).使用者名稱跟密碼跟網頁登入的相同請問是哪邊發生問題?

    • AskaSu 說道:

      建議先將帳號密碼打入 NotePad 中,
      然後用複製貼上的方式確認帳號密碼沒有問題,
      假使仍無法登入,我應該會試著更新 FG 韌體及 VPN 軟體。

  76. 大頭偉 說道:

    蘇老您好
    我司是80C
    我看了技術文件
    目前使用安好
    但是我想備份設定
    卻沒有狀態可以讓我備份
    那是版本問題嗎?

    • AskaSu 說道:

      您目前使用的韌體版本是?
      我都是直接在 Dashboard 的 Status 中,找到 System Information 的 System Configuration 就能操作設定備份了。

  77. 阿湯哥 說道:

    請問一下 要在哪裡可以看到 SSVPN 連線記錄
    我相關的設定都有勾取

    • AskaSu 說道:

      如果確定 Log 有設定
      如圖

      正常來說,就可以在 Event Log 看到相關記錄
      如圖

  78. 大頭偉 說道:

    蘇老您好
    想請問一下
    我想控管公司AD
    想請問一下
    80C可以結合AD嗎
    或是有MAC控制嗎?
    感謝

    • AskaSu 說道:

      你希望結合 AD 到什麼樣的程度?
      我在3.0 及 4.0 韌體都有看到支援 RADIUS,
      有支援 RADIUS 其實就可以做不少事情了。

      至於使用 MAC Address 這部份就沒有玩到了,
      或許可以詢問代理商或者經銷商,
      我相信他們一定可以給你比較滿意的答案 /:)/

      • 大頭偉 說道:

        蘇老您好
        感謝您的提示
        目前設定測試中
        十分感謝

  79. Eric 說道:

    蘇老您好!
    我按照您的教學文章去設定FGT 80C
    但連10443的網頁就是連不上
    但我也不知從何查起...
    想請問會是我哪個環節有錯嗎

    • Eric 說道:

      請問蘇老

      我現在可以連線了...

      但我內網的網頁都不能用

      ERP系統也都不能用

      我看我SSL VPN抓的IP資訊如下
      IP     192.168.100.201
      MASK   255.255.255.255
      GATEWAY 192.168.100.201

      請問MASK跟GATEWAY這樣是正常的嗎?
      我在猜內網網頁不能開是跟這兩個有關
      請問要怎改呢

  80. roger 說道:

    我login 之後
    Tunnel Mode 出現下面的訊息
    "The tunnel client is a seperate application and you can download it from
    Forti web ...... "

    左邊出現連線數據 sent/receice byte
    但就是沒有按鈕讓我建立 connection

    請問該怎麼辦啊???

    • AskaSu 說道:

      不好意思,您的問題我沒有遇過,
      建議直接詢問經銷商或代理商看看 :)

  81. RionYu 說道:

    請問您有試過forticlient 的app嗎?我用ios跟android都無法正常連線也

    • AskaSu 說道:

      用 FortiClient App 連線 VPN 嗎?
      很久以前在 Android 上測試過正常,
      但很可惜我手邊沒有環境再確認新版,
      目前會建議先確認 PC 用 FortiClient 可以正常連線,
      再測試平板或手持裝置也能使用。

      假使再不行的話,一般我都會嘗試更新 FG 的韌體,
      或者更新前先閱讀韌體更新的說明文件及 FG 論壇討論,
      多少可以找到些蛛絲馬跡

      • RionYu 說道:

        我目前有測過xp跟win7都可以正常連線~不過win8.1跟app都連不到~還在測試中~

        • AskaSu 說道:

          FortiOS 版本是 4.x 嗎?
          方便告知目前使用的版號嗎?
          我想嘗試找時間測試手邊的 FG 能否重現你的狀況。
          但如果是 5.x 我就沒輒了,因為手邊的機器升不了... T_T

        • AskaSu 說道:

          我用手邊的環境測試,
          不論是 Win8.1 裝 Fortinet的VPN Client,
          或是 Android 裝 5.0.3.068 版的 FortiClient,
          都可以正常連接 Fortigate 的 SSLVPN 喔。

          建議觀察 FG 的 Log 看有無蛛絲馬跡,
          不過記得要先確認 Log 功能有打開。

  82. ERIC 說道:

    蘇老你好
    想請教可否可限制1個SSLVPN帳號的使用人數
    目前是知道1個帳號可以供多人登入
    管理起來有點困難,不知道您是否有解?
    謝謝!

    附上目前版本:
    FG110C-4.00-build513

    • ERIC 說道:

      USER GUIDE無法下載了

      • AskaSu 說道:

        Fortinet 的網站似乎有做了蠻大的變動,
        一般的文件下載只有 4.0 版之後的,
        若要找到 3.0 版相關資料就必須從 Fortinet Knowledge 網站去找。

    • AskaSu 說道:

      如果公司有使用網域,
      可以參考這篇文章使用 Radius 方式,
      就能避開共用帳號密碼的問題,
      改用網域帳號進行存取了。
      Fortigate SSL VPN 與2008 NPS Server 的快速設定

發表迴響

( ★ 是真人就填一下吧 )