相關回應:快速設定Fortigate SSL VPN http://www.askasu.idv.tw/index.php/2009/04/13/418/ 資訊無涯,回頭已不見岸! Fri, 03 Sep 2010 06:59:47 +0000 http://wordpress.org/?v=2.8.6 hourly 1 作者:sss http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-233 sss Mon, 19 Jul 2010 06:59:05 +0000 http://www.askasu.idv.tw/?p=418#comment-233 呵呵,SSL VPN畫面終於出現,原來之前有一OWA都行HTTPS PORT,將這POLICY關掉SSL VPN畫面就出現,不過用戶不能登入"Error:permssion denied",用戶是LOCAL USER,檢查密碼沒錯誤的 呵呵,SSL VPN畫面終於出現,原來之前有一OWA都行HTTPS PORT,將這POLICY關掉SSL VPN畫面就出現,不過用戶不能登入"Error:permssion denied",用戶是LOCAL USER,檢查密碼沒錯誤的

]]> 作者:sss http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-232 sss Mon, 19 Jul 2010 05:06:22 +0000 http://www.askasu.idv.tw/?p=418#comment-232 那雖否在fortigate內DHCP-INTERNAL-RELAY-SERVERS先開啟一個新SERVER段給SSL-VPN tunnel ip網段?或在SBS內DHCP SERVER設定? 那雖否在fortigate內DHCP-INTERNAL-RELAY-SERVERS先開啟一個新SERVER段給SSL-VPN tunnel ip網段?或在SBS內DHCP SERVER設定?

]]> 作者:AskaSu http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-231 AskaSu Sun, 18 Jul 2010 14:49:00 +0000 http://www.askasu.idv.tw/?p=418#comment-231 To sss: 我會建議先參考小弟的步驟再試著一步步建立及檢查, SSL VPN 的網段也與內網切開, 然後再確認Client 端在Internet 上是可以正常連接上SSL VPN, 並且有取得SSL VPN 網段裡的IP, 接著再去檢查路由及Policy的設定, 這兩個部分是最容易發生鬼打牆。 To sss:

我會建議先參考小弟的步驟再試著一步步建立及檢查,
SSL VPN 的網段也與內網切開,
然後再確認Client 端在Internet 上是可以正常連接上SSL VPN,
並且有取得SSL VPN 網段裡的IP,
接著再去檢查路由及Policy的設定,
這兩個部分是最容易發生鬼打牆。

]]> 作者:sss http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-230 sss Sun, 18 Jul 2010 09:32:14 +0000 http://www.askasu.idv.tw/?p=418#comment-230 應是60沒有a或b的,雖然現在可能是舊產品,但是這番說話是在剛買下這產品第一年上training時代理說,所以對有些設定出問題就不明白是否如代理所說有限制?我們只有10-20人左右,所以選擇這產品時已考慮其寬容度. 沒有active x出現,是找不到network. 內網ip是由sbs server分派,即enable sbserver dhcp功能,起初是方便client join domain,不知有沒有理解錯誤? 剛看過及已升級至3.0 mr9,但到4.0已沒patch可upgrade, 應是60沒有a或b的,雖然現在可能是舊產品,但是這番說話是在剛買下這產品第一年上training時代理說,所以對有些設定出問題就不明白是否如代理所說有限制?我們只有10-20人左右,所以選擇這產品時已考慮其寬容度.

沒有active x出現,是找不到network.

內網ip是由sbs server分派,即enable sbserver dhcp功能,起初是方便client join domain,不知有沒有理解錯誤?

剛看過及已升級至3.0 mr9,但到4.0已沒patch可upgrade,

]]> 作者:AskaSu http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-229 AskaSu Sun, 18 Jul 2010 01:57:03 +0000 http://www.askasu.idv.tw/?p=418#comment-229 從Internet 登入SSL VPN後, 有出現訊息要求安裝ActiveX 元件嗎? 另外,不太懂你說的DHCP 改在Server 上的意思, 在範例中是不需要設定DHCP 的。 至於你的代理商為何不建議升級Patch, 其實這部分讓我不太能理解, 因為我的經驗是,真的有碰過某一版軔體的某個功能有問題, 剛好又是我有需要用到的, 直到下一版本才修正。 如果你有在Fortigate Support 網站註冊過資料, 可以到官網的軔體下載網站找Release Note, 就能比較清楚新版本到底修正了哪些東西。 而代理商說硬體支援不好,不知道是不是指Fortigate 60 (無A或B的尾碼)的效能? 如果公司使用的人數很多,以你公司使用SBS Server 來預估, 可能人數為30 至50 人以上,我也會覺得FG60 不夠用, 再來就是FG60 的Last Date to Extend Maintenance Contracts 只到11/21/2012, 會建議趁早換高階一點的機器。 從Internet 登入SSL VPN後,
有出現訊息要求安裝ActiveX 元件嗎?

另外,不太懂你說的DHCP 改在Server 上的意思,
在範例中是不需要設定DHCP 的。

至於你的代理商為何不建議升級Patch,
其實這部分讓我不太能理解,
因為我的經驗是,真的有碰過某一版軔體的某個功能有問題,
剛好又是我有需要用到的,
直到下一版本才修正。

如果你有在Fortigate Support 網站註冊過資料,
可以到官網的軔體下載網站找Release Note,
就能比較清楚新版本到底修正了哪些東西。

而代理商說硬體支援不好,不知道是不是指Fortigate 60 (無A或B的尾碼)的效能?
如果公司使用的人數很多,以你公司使用SBS Server 來預估,
可能人數為30 至50 人以上,我也會覺得FG60 不夠用,
再來就是FG60 的Last Date to Extend Maintenance Contracts 只到11/21/2012,
會建議趁早換高階一點的機器。

]]> 作者:sss http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-226 sss Fri, 16 Jul 2010 06:22:57 +0000 http://www.askasu.idv.tw/?p=418#comment-226 你好,現用型號是FORTIGATE 60(應是A吧)更新至3.0 MR7 PATCH1, 固定IP, DNS及DHCP改在SBS SERVER上, 跟從閣下設定後,在INTERNET嘗試登入SSL VPN但沒回應, 在LOG REPORT亦沒找到有RECORD.(OWA是可以的),亦嘗試改254網段和內網一致, 不過亦是沒反應, 請問還可檢查什麼設定? 這邊代理不見議UPGRADE PATCH,說硬體SUPPORT不好,就連VIRTUAL DOMAIN都不要開,(本應可SUPPORT 10個嘛),他們說要用這些功能要上100以上才好,但官網就不斷有新PATCH更新,因此不清楚是FIRMWARE VERSION有否影響. 你好,現用型號是FORTIGATE 60(應是A吧)更新至3.0 MR7 PATCH1, 固定IP,

DNS及DHCP改在SBS SERVER上,

跟從閣下設定後,在INTERNET嘗試登入SSL VPN但沒回應,
在LOG REPORT亦沒找到有RECORD.(OWA是可以的),亦嘗試改254網段和內網一致,
不過亦是沒反應, 請問還可檢查什麼設定?

這邊代理不見議UPGRADE PATCH,說硬體SUPPORT不好,就連VIRTUAL DOMAIN都不要開,(本應可SUPPORT 10個嘛),他們說要用這些功能要上100以上才好,但官網就不斷有新PATCH更新,因此不清楚是FIRMWARE VERSION有否影響.

]]> 作者:AskaSu http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-221 AskaSu Sun, 27 Jun 2010 02:31:15 +0000 http://www.askasu.idv.tw/?p=418#comment-221 To zack Fortinet 技術網站有提供給Mac OS 用的SSL VPN Client 軟體, 建議改安裝該軟體進行SSL VPN 的連線。 To zack

Fortinet 技術網站有提供給Mac OS 用的SSL VPN Client 軟體,
建議改安裝該軟體進行SSL VPN 的連線。

]]> 作者:zack http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-219 zack Fri, 25 Jun 2010 08:54:44 +0000 http://www.askasu.idv.tw/?p=418#comment-219 蘇老大大!我有一台mac 請問我該如何使用網頁連線至sslvpn 因為我試過連線,網頁告訴我沒辦法安裝元件 蘇老大大!我有一台mac
請問我該如何使用網頁連線至sslvpn

因為我試過連線,網頁告訴我沒辦法安裝元件

]]> 作者:Owen http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-217 Owen Tue, 15 Jun 2010 09:30:40 +0000 http://www.askasu.idv.tw/?p=418#comment-217 剛才試成功了, 需加入一個 Policy Route,ssl.root->DMZ 位址欄位都用預設值的 0.0.0.0/0.0.0.0 就可以成功的讓 SSLVPN 的用戶從連入的那條 PPPoE 線路上 Internet 剛才試成功了,
需加入一個 Policy Route,ssl.root->DMZ
位址欄位都用預設值的 0.0.0.0/0.0.0.0 就可以成功的讓 SSLVPN 的用戶從連入的那條 PPPoE 線路上 Internet

]]> 作者:Owen http://www.askasu.idv.tw/index.php/2009/04/13/418/comment-page-1/#comment-216 Owen Tue, 15 Jun 2010 09:12:12 +0000 http://www.askasu.idv.tw/?p=418#comment-216 蘇老您好, 我的情形是 WAN Port 是線路1(固定IP) SSLVPN 我是設定 DMZ port 接 線路2(PPPoE 撥接連線)。 想要在 Tunnel 連線(非 Split Tunneling)時,讓 SSLVPN 連線可以由此 DMZ port 連出去Internet。 一直無法設定成功。 一定要讓它走 WAN Port 才行。 Policy 設 ssl.root -> WAN 就 OK。Trace Route 經 Port 3 的 Gateway 出去 Internet 。 Policy 設 ssl.root -> DMZ 就沒用。Trace Route 停在 Port 3 的 Gateway。 神奇的是我整個 VPN 的設定跟 Port 3 都沒有關係。 使用的 FortiOS 是 4.0MR2 蘇老您好,
我的情形是 WAN Port 是線路1(固定IP)
SSLVPN 我是設定 DMZ port 接 線路2(PPPoE 撥接連線)。

想要在 Tunnel 連線(非 Split Tunneling)時,讓 SSLVPN 連線可以由此 DMZ port 連出去Internet。
一直無法設定成功。
一定要讓它走 WAN Port 才行。

Policy 設 ssl.root -> WAN 就 OK。Trace Route 經 Port 3 的 Gateway 出去 Internet 。
Policy 設 ssl.root -> DMZ 就沒用。Trace Route 停在 Port 3 的 Gateway。
神奇的是我整個 VPN 的設定跟 Port 3 都沒有關係。

使用的 FortiOS 是 4.0MR2

]]>