還好，網路上有DD-WRT 這公開的軔體能刷在特定的IP 分享器使用，裡面提供的功能包羅萬象，就看分享器內建的ROM 有多大，能使用的功能就有多少。
（注意！刷非原廠軔體不在保固範圍內，不過我好像買來第一天就都改刷了...）

所以這次就是要用DD-WRT 內建PPTP Server 來完成任務。有支援的軔體版本請參考官方連結。

設定方式非常簡單，兩張圖就講完。
進入分享器的頁面後，找 [伺服器] -> [VPN]，然後點選啟用 [PPTP 伺服器]。

參考下面說明及圖片進行設定。
● 伺服器IP 欄位請輸入IP分享器的內部IP：
以本文為例，則是 192.168.1.254，也就是指定IP分享器為Gateway。

● 用戶端IP 欄位請輸入希望給予的IP 範圍，建議設定為同網段範圍，格式如：

192.168.1.161-165

這部份在經過惡搞後發現，輸入跟分享器不同網段，VPN 還是會連接並取得設定的IP ，但你會發現就被關在那個網段裡面了，連Internet 都上不了。

● CHAP-Secrets 欄位則是用來輸入相關的帳號密碼，格式為：

帳號1 * 密碼 *
帳號2 * 密碼 *

如果需要給予多筆帳號，可以分行建立。請注意密碼的前後務必給予一個空格，否則就會跟我當初測試時一樣鬼打牆。

最後請點選 [儲存重啟]，使PPTP Server 功能生效，這樣就完成了伺服器端的設定。

接著在用戶端進行設定連線及測試。
到 [控制台] -> [網路及網際網路] -> [網路和共用中心]，點選 [設定新的連線和網路]。

點選 [連線到工作地點]。

點選 [使用我的網際網路連線 (VPN) ]。

這部份的資訊在連線時很重要，請輸入該IP分享器的對外或網址。「目的地名稱」則是用來建立連線時的識別名稱。

輸入帳號密碼後即完成在用戶端的連線設定。

而在Windows 7 裡最快的連線步驟，就是用滑鼠左鍵點擊右下角的網路圖示，再依據指示就能成功連線。
圖中的「PPTP」就是當初建立的「目的地名稱」。

最後要說的是，以台灣目前的網路環境，一般家用的ADSL/FTTB大都屬於浮動IP，所以在連線使用VPN 可能會有些不方便。如果像是使用中華電信的用戶，其實可以轉申請浮動轉固定的服務，或者可以申請Dyndns 的動態DNS 服務，然後在DD-WRT 上進行設定，這樣就會比較容易在外面連線到對外服務的IP 分享器，然後與內部網路進行連接。

另外特別提醒的是，如果有考慮開啟VPN Server，建議盡量將內部網路的網段設定至較為特別的位置，避開使用類似192.168.0.0/24或192.168.1.0/24等網段，因為這些網段都常在旅館或咖啡廳被使用，會導致兩端在建立VPN 連線後，都位在同樣網段時，很容易造成存取或連線上的錯誤。

用下面這幾張圖來說明會比較容易。
假設右端在企業外部的電腦與左端的分享器建立起PPTP VPN 後，取得的IP 為 192.168.1.162，那麼當他要存取左端192.168.1.1 或192.168.1.159 這兩台主機的資源時，會在右端尋找還是自動找到左端呢？

取得的IP 狀態。

其實從路由表來看，會比較清楚些。在建立VPN 連線後，會以左端的企業內部環境為優先，右端的內部資源可能就無法正常存取了。

原來，EZ VPN 目前是針對有跨國經營需求的中小企業，尤其是台商在海外據點為美國、日本、曼谷、新加坡、中國北京、上海、香港及越南河內、胡志明市等地，都可以申請這項服務。由中華電信與當地的ISP業者合作，搭配相關的VPN 設備及路由修改設定，快速建構起企業內部網路通訊。

（圖片來源：中華電信國際分公司EZ VPN 產品說明頁面）

比較特別的是，所使用的設備還能讓企業使用VoIP 功能，中華電信稱之為「輕鬆Talk」。現場雖然提供了體驗區，但只擺設了一組相關設備，且參加人數眾多現場又擁擠，感覺很難達到宣傳的效果。

上圖的設備頗眼熟，翻起來一看果然就是居易科技的Vigor 2910VG。由於該設備有2埠的FXS，所以可接入總機系統（PBX）使用沒問題。

黑色物體為ClearOne Plus 網路通訊設備。這張圖其實少拍了東西，左邊還有一台企業內常用的電話分機，用電話線就接在Vigor 2910VG 上，只要參考上圖的分機撥法，當場就能直接與在各地的中華電信代表通話。

除了EZ VPN 外，中華電信還有MMC（Multimedia Meeting Center, 線上多媒體視訊會議系統）、EZ VPN+ERP、EZVPN+VRS（遠端監控管理服務）等加值服務。

視訊會議的部分在聽完解說後，個人認為對一般中小企業來說應該還算方便，且不需要為了每個月才喝幾次的牛奶（會議）而去養了一頭牛（大頻寬）；尤其該會議主機是設置於中華電信機房內，所以在國內外的使用都有蠻高的網路優先權。

不過很可惜，整場聽完其實對我及公司來說派不上用場，因為目前有服務的點都不在公司的分點內，而且加值服務方面也不太符合需求，感覺去參觀隔壁的資訊展還比較好玩。（絕對不是因為這次參加說明會沒抽到小筆電的關係...）

同場加映台北101 36F 國際會議中心外風景。下圖為目前舉辦資訊展而裡頭熱鬧強強滾的台北世貿中心。

新光三越台北信義新天地A11館周遭。

國父紀念館、台北市議會及台北市政府周遭。

其實...想拆「Ascenlink 330」已經很久了，因為有朋友的公司用這設備管理多條線路的頻寬（330最多僅能管理5條），運作迄今非常穩定，讓我非常好奇裡面的硬體規格。

前陣子，在因緣際會下取得一台不在保固內的，自然是逃不過我的魔爪啦！

拆開的方式跟一般Switch沒什麼太大差別，螺絲鬆開取上蓋就一覽無遺了。整體來說內部很空曠，不過硬體配置有個比較令我較疑惑的地方，唯二的風扇竟然是配置在離主機板最遠的地方，並且採外抽方式。

從外觀的貼紙觀察，風扇應該是建準電機（SUNON）的磁浮風扇系列。

左上角的電源輸入處不馬虎，有用熱縮管包覆。

裡面使用的電源模組也相當不錯，從上面標示的型號「MPS-65-12」查得，為明緯企業所製造，且該模組等級屬於醫療用。

重頭戲上場，整台機器最重要的核心主機板，是由其陽科技（Aewin Technologies）所生產的「AW-A695」嵌入式主機板。由於該型號已經在網路上無法查得確切正確資料，不過研判極高的可能是使用VIA CPU，連南橋都是VIA在P3時代的長青樹-VT82C686B。

電容幾乎是採用日系品牌，不用擔心有未爆彈的狀況。

四組網路晶片疑似使用瑞昱半導體（Realtek）的RTL8139 CL+晶片。網路插座的連接器感覺也不錯，應該是Pulse的產品。

另外，上面安裝的記憶體是有終身保的創見（Transcend）PC133 256MB SDRAM（TS32MLS64V6G），不知道自行更換512MB能不能再提升效能？另外，原廠不知道是為了避免使用者自行拆卸，還是防止搬運過程會掉落，額外在左側的卡榫多上一小塊熱熔膠。

記憶體顆粒還是英飛凌的喔！

連系統核心也是塞在創見128MB IDE Flash Module裡。

主機板上其實有CF插槽，應該能把系統核心塞入CF記憶卡裡面執行。

既然是核心系統是塞在IDE Flash Module上執行，那能不能裝在PC上呢？事實證明，該裝置的確是抓得到。

而且用WinPE光碟開機後，也能用軟體讀出該裝置的資訊。

那能否開機呢？可以，而且核心還是用Linux寫的耶！

很可惜，系統核心似乎有寫死硬體，所以沒辦法開機。或許...找個相近的規格.....

綜觀來說，這設備的硬體用料是幾近滿分，至少在長期運作上應不會有太大問題；實際上，幾位有購買過同型產品的朋友經驗的確如此。小小不負責猜測，或許在同類型產品的分別上，是用不同硬體的規格作分野。

最後再從系統的GUI介面截圖大略說明（截圖是將所有選單重新排列顯示），個人認為選單及細部設定不夠直覺，如果一般網管人員想要搞懂，恐怕不是一件簡單的事情，建議購買後還是請SI或經銷商協助設定比較好，不然就是要參加原廠的教育訓練課程了。

之前有網友留言希望我研究Fortigate 站台對站台的IPEC VPN，剛好我對這問題也很有興趣，所以一定要玩出來分享，相信大家一定也能舉一反三完成設定。

一樣這次還是快速設定的教學，先求效果再求瞭解。

先簡單說明網路測試環境，否則後續圖解一定會看到眼花：
Z1 Network - 192.168.123.0/24
有Fortigate 60 設備（FortiOS v4.0.1 beta）
WAN IP: 123.123.123.123
Lan IP:192.168.123.254

Z2 Network - 192.168.1.0/24
有Fortigate 60B 設備（FortiOS v3.0 MR7）
WAN IP: domain.dyndns.org（外部採PPPoE 無固定IP，故申請免費的dyndns.org 服務以達成兩端即時連線）
Lan IP:192.168.1.252

理所當然，我們先從Z1 區的FG60 下手設定：
1) 設定FG60 的IPSEC Key。到VPN -> IPSec，選擇「Create Phase 1」。

為方便未來清楚設定，建議參考下圖命名為「Z1toZ2_Tunnel」，進階的部分用預設即可。但幾個地方要注意：
a. 由於Z2 區的Fortiagte 對外是使用浮動式IP，所以Remote Gateway 請選擇「Dymamic DNS」模式，「Dynamic DNS」欄位則輸入Z2 對外的DDNS 名稱。
b. 「Local Interface」是個很容易讓人誤會的設定，請選擇Fortigate 上對外連線VPN 的介面。因此範例是選擇「wan1」。
c. 「Pre-shared Key」的密碼設定至少為三個字元以上。範例是設定「123456」，到時候另一端的設備也需要設同一組密碼作溝通。

建立完「IPSEC Phase 1」，接著新增「Phase 2」

參考下圖將「Phase 2」命名為「Z1toZ2_phase2」，並記得選擇前面phase 1 所設定「Z1toZ2_Tunnel」；進階的部分用預設即可。（就說了是快速設定啊 ）

Z1 端IPSEC 的設定完成如圖。

2) 到Firewall -> Address 新增兩組IP 網段。
請參考下圖，分別新增Z1（192.168.123.0/255.255.255.0）及Z2（192.168.1.0/255.255.255.0）的IP。

3) 到Firewall -> Policy 新增Internal -> Wan1 的Policy。
由於是Z1 到Z2 的設定，Source Address 當然要選擇Z1 的IP Address，Destination Address 則選擇Z2 的IP Address。要比較注意的是，Action 設定請記得選擇「IPSEC」，而VPN Tunnel 則選擇先前建立的「Z1toZ2_Tunnel」。

如果建立Policy 後，順序跟下圖一樣是後於「all to all」，請將調整於其之前。

如果以上步驟都確實完成，那麼Z1 端就算收工了，等於做完一半啦！

鏡頭轉到Z2 的FG60B 設定。以下步驟其實跟Z1 的設定幾乎一樣。
1) 到VPN -> IPSEC 新增FG60B 的IPSEC Key。一樣要先新增Phase 1，命名為「Z2toZ1_Tunnel」。而要注意的事項：
a. Z1 對外是使用固定IP，所以Remote Gateway 請選擇「Statics IP Address」模式，「IP Address」欄位則輸入Z1 對外的IP「123.123.123.123」。
b. 「Local Interface」請選擇擇「wan1」介面。
c. 「Pre-shared Key」的密碼必須跟Z1 端的IPSEC 設定一樣，所以請輸入「123456」。

新增Phase 2。不多講，看圖說故事。

完成Z2 端的IPSEC 設定。

2) 到Firewall -> address 新增兩組IP 網段。這部分跟Z1 端一樣。

3) 到Firewall -> Address 新增Internal -> Wan1 的Policy。
現在是Z2 到Z1 的設定，Source Address 請務必選擇Z2 的IP Address，Destination Address 則選擇Z1 的IP Address，不要搞混現在在哪裡設定啊。Action 設定別忘了選擇「IPSEC」，VPN Tunnel 則選擇「Z2toZ1_Tunnel」。

大功告成！

當然，照例要來個有圖有真相。從Z1 端的電腦直接Ping Z2 端的FG60B，會看到已經可以直接連接。不過，會發現第一次Ping 的時候似乎停頓1至1秒半的時間。

這是因為預設的IPEC VPN 不會主動建立連線，只有在Fortigate 發現內部有需要時才會開始連線（這算節能省碳嗎？），甚至在雙方達到一定時間且沒有流量時還會自動中斷VPN。

要解決這個問題，就是到IPSEC 的phase 2 設定找到進階選項，然後勾選「Autokey Keep Alive」。另外，從這裡可以發現「keylife」預設是30分鐘會換一次Key，如果又沒有勾選「Autokey Keep Alive」且沒有流量，設備就會因此停止VPN 連線。高興的話，也可以改一個小時甚至一天，就看你的安全考量；畢竟是透過Internet 傳輸IPSEC VPN，「keylife」時間越久就越有可能遭到有心駭客去破解。

認真研究起來，上面的設定其實不很難，難的是Fortinet 原廠提供的教學文件 - IPSec VPN User Guide 並沒有提供截圖，所以在閱讀上會有些困難。不過，一般企業會想到的應用幾乎都在文件裡出現，像是Redundant VPN、Hub and spoke 架構等等。如果資源夠的話，我會建議印出來閱讀，會比較容易從文件中抓出重點。

至於Site to Site IPSEC VPN 是否僅限定Fortigate 設備，其實不然！（假如連這都要綁標就太機車了...）原廠Knowledge Center 還提供了像是跟ZyXEL ZyWALL、SonicWall、Cisco PIX 等大廠設備，甚至連Microsoft ISA Server 都有的連線文件（詳情可參考Fortinet Knowledge Center 的 IPSec VPN interoperability 頁面），有需要的人可以上網參考看看喔！

之前提供Fortigate 的SSL VPN 的快速設定方式，都是在防火牆設備上建立帳號，讓用戶端使用該帳號及密碼作登入。只是，這其實有很大的資安問題，因為很多公司為了方便，往往只建立一至兩組的通用帳號及密碼；萬一某個知道登入方法的員工離職了，這樣就會造成要重新設定及公告撥入的帳號和密碼，怎麼想都覺得這是很有問題的作法。假如公司每個月換掉一個員工，不就每個月都要痛一次？

但是，如果公司有使用微軟的AD網域架構，就能利用Windows Server 2008 內建的網路原則伺服器（NPS），當作我們的Radius Server；也就是用戶端想在Fortigate 上登入SSL VPN 時，只要輸入網域的帳號及密碼，就會依據網管在該帳戶所開放的權限去判斷是否允許登入。

參考上面的網路基礎架構圖，我預備將已經加入網域的NPS 主機（192.168.1.51）當作Radius Server。
1) 到開始 -> 系統管理工具 -> 伺服器管理員，開啟後新增「網路原則伺服器」的角色，然後按下一步。

2) 勾選「網路原則伺服器」，然後按下一步完成。

3) 完成安裝後，到開始 -> 系統管理工具 -> 開啟「網路原則伺服器」，並參考下圖新增RADIUS 用戶端。

4) 新增RADIUS 用戶端。因為NPS 是我們的RADIUS Server，Fortigate 自然而然就成了我們的用戶端，所以請務必輸入其IP 位址，及Server 端和用戶端的溝通時所需要的共用密碼。範例是以「123」當作共用密碼，而廠商則可選擇「Microsoft」，因為Fortigate 有支援MS-CHAP v2 的驗證。

5) 設定完Server，再回到Fortigate 上設定。請到User -> Remote -> RADIUS，參考下圖新增一組RADIUS 設定。這邊要比較注意的還是Primary Server Secret 設定，因為RADIUS Server 及RADIUS Client 端的共用密碼必須一致，範例是以「123」當共用密碼，Authentication Scheme 則選擇「MS-CHAP v2」。

6) 把建立好的RADIUS 設定加到已經被Policy 允許存取SSL VPN 的群組內。高興的話，可以順手把之前通用的那個帳號給廢了。

上面的步驟應該算是完成設定，但實際使用時會發現，用戶卻像是鬼打牆一樣無法登入。

這一切的一切都是因為AD 網域的帳號設定，關於VPN 的登入選項預設為「透過NPS 網路原則控制存取」。最快的解決方式，就是直接勾選「允許存取」。

雖然Fortigate 提供VPN 的功能還有很常見的PPTP 跟IPSEC，只是我個人覺得對於企業應用及便利性來說，SSL VPN 還是略勝一籌，或許也是為什麼有些知名UTM 設備廠都將這功能內建在裡面的原因。

最後來談談Fortigate 的後續維護成本。以這次公司因中華電信資安艦隊專案所取得到的FG60B 來說，由於是屬於中華電信的特別專案，所以設備從在原廠註冊完成日起算兩年內，AV（AntiVirus，不是一支筆啦）、IPS（入侵偵測防禦系統）、Web Filtering（原廠線上提供的網頁過濾資訊）、AntiSpam（原廠線上提供的防垃圾郵件資訊）及韌體更新都是屬於免費的，但硬體保固卻是需自行聯繫代理商後送回。

如果貴公司是一秒鐘幾十萬上下的，建議找這次專案賣很大的Fortigate 代理商-力麗科技（對！不用懷疑，跟賣家具的力麗家具一點關係也沒有）或SI 系統整合商，花點小錢加簽到場或備品服務，不然損失的就不止幾萬了。

而過兩年之後，很抱歉！想繼續更新AV/IPS甚至硬體保固，就必須付費續約。至於費用方面，我之前有跟我公司的SI 維護廠商稍微詢問過，一次簽約三年含AV、IPS及硬體保固，大概不到六萬元，算是還蠻超值的。

但不簽也無所謂，機器也不至於變成磚頭，原有的UTM 功能仍然存在，只是沒有硬體保固，而且就跟防毒軟體一樣，無法線上即時取得最新的病毒碼防護及版本更新。

不過，這也有大絕招啦！如果公司有兩台以上的Fortigate 設備，但至少有一台仍有在保固內的話，依然可以從官方的技術支援網站手動下載到病毒碼及韌體的檔案，然後再手動塞進沒保固的設備就完工啦！

上一篇文章講了Fortigate SSL VPN 的設定方式，但參照該方法後，所有進出的網路流量都會經過Fortigate 設備；如果用戶端的電腦在台灣就算了，萬一老闆出國比賽到半個地球外的歐洲，難道上個網還要大老遠繞回台灣才能出去HAPPY 嗎？

所以，還是要研究一下怎麼設定。方法其實很簡單，只要到User -> User Group 找出已設定的群組，然後勾選「Allow Split Tunneling」，點選「OK」就完成。

切換成繁中介面後，會比較容易理解，該選項就是「允許通道分割」。

只是，假如真有這麼簡單，我就不會又寫一篇教學...

因為按下「OK」後，一定會出現「Destination address of split tunneling policy is invalid」的錯誤訊息。

繁中的錯誤訊息則是「通道分割策略的目標位址錯誤」。（這是眼博士翻的嗎？）

其實，解決方法在錯誤訊息已經透露出一些端倪，這是由於之前的SSL VPN 快速設定，在WAN 對 Internal 的Policy 裡，並沒有針對Internal 指定範圍所造成的問題。

1) 到Firewall -> Address，新增一組內部IP網段。以範例的基本網路架構圖來看，內部IP網段應設定為「192.168.1.0/255.255.255.0」。

2) 修改WAN -> Internal 的Policy，將「Destination」修改為指定的內部網段。

選擇該項Policy 點選修改，然後將「Destination Address」指定為剛設定的內部IP 網段。

再回到群組設定裡勾選「允許通道分割」的選項，才真的算是成功喔。

最後，用「route print」指令來檢視用戶端的路由變化。
未連接SSL VPN 的路由表，預設閘道為192.168.123.254。

連接SSL VPN 成功的路由表，且尚未設定分割通道。可以發現預設閘道已經變為192.168.254.1，且Metric 值優於原本的192.168.123.254，故所有的網路流量都改走SSL VPN 所建立起的通道。

連接SSL VPN 成功的路由表，且已設定分割通道。預設閘道仍為192.168.123.254，僅有「192.168.1.0/24」及「192.168.254.1/32」才會走192.168.254.1 的閘道。

萬一SSL VPN 在已設定通道分割的狀況下，使用者執意要改走Fortigate 對外線路，也不是沒有辦法，用指令「route add 0.0.0.0 mask 0.0.0.0 VPN取得之IP」就能達成。

以本範例來說，就是輸入「route add 0.0.0.0 mask 0.0.0.0 192.168.254.1」。從路由表觀察，預設閘道已更改為192.168.254.1，且Metric 值優於原本的預設閘道，路由狀況跟SSL VPN 未分割設定前幾近一樣。

好啦，我也覺得用指令改來改去很麻煩，尤其對於一般使用者來說，指令跟火星文一樣。其實，建議可以利用建立兩個不同帳號及群組的方式，將一個群組設定為不分割VPN 通道，一個群組設定為分割通道，這樣就能輕鬆選擇模式囉！

其實，我對Fortinet 的防火牆設備有非常大的好感，尤其光手邊在惡搞的FG60B 也提供SSL VPN 功能，實在讓人覺得揪甘心啊～

就算你的老闆出差到中國包二奶，也能透過SSL VPN 連回公司存取內部資料，甚至避開偉哉網路長城的封鎖，藉由台灣的線路正常瀏覽無名正妹相簿政經新聞及相關網站。或許，有人會說為什麼不用PPTP VPN，我個人認為PPTP  其實沒有想像中方便，尤其對於一般使用來說，光找出連線設定恐怕就有一定的複雜度，更何況無法預期身處的網路環境是否允許PPTP 封包通過。

至於，啟用的設定方式也很簡單，記得三大原則：
● VPN 使用者及群組的設定
● 防火牆Policy 的設定
● 路由設定

當然，這次還是拿FG60B（FortiOS 3.0 MR7）當範例：

1) 到VPN -> SSL，啟用SSL VPN。參考上方的網路架構圖，設定Tunnel IP 範圍為「192.168.254.1 至 192.168.254.50」。

由於我假設的內部網路為網域環境，所以在進階設定的DNS及WINS Server，都指定AD主機的IP。實務上，如果公司同樣有網域環境，強烈建議設定成跟內部網路環境一樣，在網芳連線上也比較不會有問題。

2) 到User -> Local 新增使用者。

本範例為建立一個使用者「sslvpn」於本機上。記得..密碼要設定啊！

3) 到User Groups -> 新增群組。

範例所建立的群組名稱為「SSLVPN_GP」，設定SSL VPN 的Tunnel IP 範圍與先前設定一樣，為「192.168.254.1 至 192.168.254.50」。注意！類型需選擇「SSL_VPN」，並且將已經建立好的帳號「sslvpn」選取至Members 裡。

至於其他選項的功能，有興趣的人可以翻原廠文件：SSL VPN User Guide 3.0 MR7。

4) 到Firewall -> Policy ，新增相關Policy。依據最上方的網路架構及設想可能的用途，VPN 進來的用戶端及內部網路必須能互相溝通，而且VPN用戶端可透過該設備上網。所以必須增加下列Policy：

● Wan1 -> Internal。注意！「Action」的類型請務必選擇「SSL-VPN」，並且允許「SSLVPN_GP」群組可使用SSL VPN。

其實，這條Policy 就是攸關使用者能否透過https存取及登入的設定，沒有建立這條就啥都別談了。

● Internal -> ssl.root。「ssl.root」指的就是SSL VPN 的網路環境位置，故要讓內部網路能存取到VPN 用戶端的資源，則必須建立相關Policy。

● ssl.root -> Internal。這...不用特別解釋了吧...

● ssl.root -> Wan 1。這點要注意的是，因為SSL VPN 用戶端在撥入後，需要透過Fortigate上網，所以務必勾選「NAT」，不然你就在內部網路玩小圈圈就好了。

完成後，除了原本就有的「Internal -> wan 1」，一共增加了四條Policy。

5) 到Router -> Static，新增一筆Static Route。由於SSL VPN  的Tunnel IP Range 範例設定為192.168.254.[1-50]，所以我就直接設定「192.168.254.0/255.255.255.0」。注意！Device 類別請記得選「ssl.root」。

你高興的話也可以不要新增啦，只是連上去會發現不能互通而已。

以上就算是完成所有設定。

接著進行測試，請先確認Fortigate 的外部IP及SSL VPN 的Login Port。

然後輸入「https://外部ip:10443」，就能看到登入畫面了。請記得加上「https」跟「埠號」，否則到死都連不上。

如果是初次登入，在登入後應該會跳出安裝ActivX 的要求。想連SSL VPN 的話，乖乖裝就對啦！

連接成功就會出現像下面這兩張圖一樣的訊息。

很讚吧！用HTTPS 網頁登入的方式就能完成SSL VPN 連線，就代表你的電腦只要能上網，就能輕鬆連回公司內部。

對～～關掉那個頁面，VPN 也就跟著斷了...

所以，我個人強力推薦到Fortinet 技術支援網站下載SSL VPN 撥接軟體。（限定已註冊用戶）

撥接方式更為簡單，只要預設的SSL VPN Login Port 沒有更動（預設為10443）， 輸入IP 後連埠號都無須輸入，再鍵入帳號密碼選「Connect」，就能連上SSL VPN 囉！

就算不小心點到「X」，也只會縮到右小角的工具列中。

上面教的步驟真的是快速設定，所以Policy 的Source 及Destination Address 都是設定「all」，而且連防護的Protection Profile 都沒加上。

如果對Fortigate 有一定熟悉度的人，我還是建議認真把相關防護設定好，不然哪天被玩很大就麻煩了。

下一篇再來討論「如何切割VPN通道」，也就是VPN 用戶端除了進公司內部網路的流量走VPN 通道，其餘都還是走原本的對外線路。應該沒人希望哪天老闆到荷蘭出訪看紅燈區的櫥窗女郎，上Internet 查資料時還要透過半個地球外的Fortigate 吧！？

相關參考文件：
Fortinet Knowledge Center - SSL VPN User Guide（簡體版）

不過，公司現有的網路環境就已經有防火牆，想要惡搞看效果還是不夠準，於是決定利用假日把FG60B 帶回家測。所以，第一件事情就是要先設定PPPoE網路連線。

1) 進入Fortigate 管理介面，選System -> Network 。由於對中華電信小烏龜的網路線路，我是插在wan1 介面上，故選擇wan1 的設定。

2) 參考以下圖片，將「Addressing Mode」選擇為「PPPoE」，並填入撥接帳號（Username）及密碼（Password）。注意！務必勾選「Retrieve default gateway from server. 」，否則可能會跟我一樣，花了很久時間還找不到內部電腦繞不出去的原因。

檢查路由狀態。

3) 參考下圖，確認是否有設定Internal 轉 Wan1 的Policy。Fortigate 的Policy 設定跟路由概念很類似，所以就算路由設定是正確的，沒有在Policy 上再作設定，網路封包就一定會被擋掉。

如果沒有，可以參考下圖增加該設定。人客啊！務必勾選「NAT」，否則一輩子也上不了Internet。

其實，Fortigate 防火牆預設值就會有一筆Internal 往Wan1 的Policy，但由於我惡搞過那台機器，把原本的Switch Mode 轉成Interface Mode，也就是讓每個Internal 的網路埠成為獨立的網路設定，所以必須重新設定Policy。

以上三個步驟就完成了PPPoE 的連線上網。

只是，明明就很直覺的設定，我那天卻花了很久時間還是連不上網，原因在於：
1. PPPoE 的帳號密碼欄位不能用複製貼上填入資料，請乖乖一個字一個字鍵入，否則Fortigate 根本就不吃進去。這夠詭異吧...
2. 第二步驟中有提到「Retrieve default gateway from server」的設定，就是因為沒有勾選到，所以內部網路的電腦怎樣都上不了外網，就算在Fortigate 上手動增加路由也沒用。

果然，台上十分鐘台下十年功啊！

但說實話，這系列的文章看完，我還是丈二金剛摸不著頭緒。不過，John 還真是揪甘心，特地寫了一支小程式-HVRemote，就輕鬆解決大家的問題。而且經過測試，我在網域環境的確很簡單地就連線到Hyper-V 伺服器。

方法如下：
1) 請以具有系統管理員的網域帳號，登入Hyper-V伺服器的主機。
2) 下載Hyper-V Remote Management Configuration Utility ，並存放至適當目錄。
（範例以「E:\Files\HVRemote」為目錄）
3) 以系統管理員身份執行「命令提示字元」

4) 輸入「cscript //h:cscript」後按下Enter鍵。因為HVRemote工具無法在系統預設的WScript模式下執行。

5) 切換到HVRemote工具的存放目錄，輸入「HVRemote /add:網域名稱網域帳號」。網域帳號為登入用戶端電腦所使用的帳號。

再回到用戶端的電腦使用「Hyper-V 管理員」，就會發現已經能遠端管理Hyper-V伺服器囉！
（Hyper-V 管理員的安裝請參考上一篇。）

儘管這支小程式非常方便，但目前仍沒有被微軟正式認可，所以有問題只能向作者-John Howard 反應了。

本著尋求真相的精神，又投身到網海找尋問題的原因。果然，在製作該課程的軟體-Articulate 網站，看到原廠竟然針對這個狀況特地開了一個專版。

 而且更有人發動連署，希望Adobe 公司能及早解決。

因為，如果利用Articulate 軟體製作課程教材的公司沒有使用該廠提供的Updater 重新壓製，那麼用戶端只要安裝的是Flash Player 10，這個問題幾乎等於無解。

※ 2009.01.12 訊息更新：解決方式請參考本篇文章 - 微軟WebCast課程錄影檔無法播放的解決方法

網路上也有人討論，這一切會不會是阿兜比ㄟ陰謀！？因為Adobe 也有推出類似的課程教材軟體-Presenter，說不定利用發佈Flash Player 10 的機會，讓Articulate 陷入萬劫不復的地獄。不過，Adobe 公司如果真的這樣搞，在米國應該會先被告到翻過去吧。

我的想法是，微軟何不趁機把Silverlight 技術伸入課程教材軟體的市場勒！