Feb 21 2010
之前在部落格曾經寫過關於用Fortigate 建立VPN 的一系列文章,但這是因為公司申請中華電信資安艦隊方案所獲贈的機器(當然,羊毛還是出在羊身上...),一般小型企業或家庭不太可能花錢砸設備,那如果想要自建VPN Server 該怎麼辦?
還好,網路上有DD-WRT 這公開的軔體能刷在特定的IP 分享器使用,裡面提供的功能包羅萬象,就看分享器內建的ROM 有多大,能使用的功能就有多少。
(注意!刷非原廠軔體不在保固範圍內,不過我好像買來第一天就都改刷了...)
所以這次就是要用DD-WRT 內建PPTP Server 來完成任務。有支援的軔體版本請參考官方連結。
設定方式非常簡單,兩張圖就講完。
Dec 05 2009
前天又受邀參加了一場說明會,這次是由中華電信國際分公司在台北101 36樓國際會議中心舉辦,主題內容為EZ VPN 這項產品及其他加值服務。乍聽之下,跟原本公司在使用的HiLink 似乎有重疊之處,但實際上主打的市場並不相同。
Jul 27 2009
其實...想拆「Ascenlink 330」已經很久了,因為有朋友的公司用這設備管理多條線路的頻寬(330最多僅能管理5條),運作迄今非常穩定,讓我非常好奇裡面的硬體規格。
前陣子,在因緣際會下取得一台不在保固內的,自然是逃不過我的魔爪啦! 
May 17 2009
之前有網友留言希望我研究Fortigate 站台對站台的IPEC VPN,剛好我對這問題也很有興趣,所以一定要玩出來分享,相信大家一定也能舉一反三完成設定。
一樣這次還是快速設定的教學,先求效果再求瞭解。
May 11 2009
之前提供Fortigate 的SSL VPN 的快速設定方式,都是在防火牆設備上建立帳號,讓用戶端使用該帳號及密碼作登入。只是,這其實有很大的資安問題,因為很多公司為了方便,往往只建立一至兩組的通用帳號及密碼;萬一某個知道登入方法的員工離職了,這樣就會造成要重新設定及公告撥入的帳號和密碼,怎麼想都覺得這是很有問題的作法。假如公司每個月換掉一個員工,不就每個月都要痛一次? 
但是,如果公司有使用微軟的AD網域架構,就能利用Windows Server 2008 內建的網路原則伺服器(NPS),當作我們的Radius Server;也就是用戶端想在Fortigate 上登入SSL VPN 時,只要輸入網域的帳號及密碼,就會依據網管在該帳戶所開放的權限去判斷是否允許登入。
Apr 21 2009
上一篇文章講了Fortigate SSL VPN 的設定方式,但參照該方法後,所有進出的網路流量都會經過Fortigate 設備;如果用戶端的電腦在台灣就算了,萬一老闆出國比賽到半個地球外的歐洲,難道上個網還要大老遠繞回台灣才能出去HAPPY 嗎?
所以,還是要研究一下怎麼設定。方法其實很簡單,只要到User -> User Group 找出已設定的群組,然後勾選「Allow Split Tunneling」,點選「OK」就完成。
切換成繁中介面後,會比較容易理解,該選項就是「允許通道分割」。
只是,假如真有這麼簡單,我就不會又寫一篇教學...
