看過雷伊大大的文章之後
一時興起也想寫篇最近客戶常問到的議題
如何快速建立因應新冠肺炎(COVID-19)疫情
而需快速建立的防疫(隔離)辦公室
以利在員工不能進入公司時能順利工作
客戶還希望有幾點要求
看完以上需求
直接建議客戶採用Fortinet Remote FAP
原因如下:
結論:
感謝您提及我的文章
我一直認為把用戶端VPN設定做成懶人包執行檔是一件很瞎的事
執行後畫面閃一下不到一秒就裝好了(伺服器名稱、PSK共同金鑰、通訊協定全都自動寫好了)
VPN開關也是(帳戶密碼寫好),一週換一次改過密碼的BAT檔給用戶也只是求個心安
為了閃一下的事情被同事詢問了100多人次,因為他們沒法確定VPN是否連線成功
用免費的方案結果最可憐的就是IT,都寫成PPT了還是一直被追用,尤其是用MAC的同事
在下建議的方法就是不用VPN
使用者習慣越不用改變,接受程度更高
要那些高階主管登VPN,肯定問不完的事
都歡迎各位網上先進給予指教
也歡迎一起討論
很好奇怎麼都沒人問:如何FAP設定好"隨插即用"
自己來揭曉一下,
原來FAP裡可以指定控制器(AC)的IP
把它設定Fortigate的WAN IP即可
最多還可以設3組(所以可以做線路備援)
然後資料流就可以從家裏或防疫辦公室一直穿越回總公司
好像VPN一樣,是不是很神奇
不用VPN的確新引人,10幾年前菜的時候直接開Port讓用戶透過密碼存取,後來綁架勒索病毒流行後我就不敢了
在疫情期間業務緊縮我儘可能的不要讓老闆在花錢
請問前輩您這套方案最少要有甚麼設備才能辦到?
雷伊大大您客氣了
其實這套方案的前提是要有Fortigate
(任何型號都可以,買二手的也行)
然後再買任一台FortiAP就可以做到的
(延伸運用的型號請見延伸運用(NAS及本地列印)
想請教一下這種做法,從遠端回來的流量有加密嗎?
ForiAP的tunnel mode跑TLS,所以是加密的.
Aruba跑IPSec.
其實,FortiAP與Fortigate之間
有控制訊息與資料流二部分
在資料流部分,
FAP是可以選擇Clear Text or DTLS Enabled
不同於他牌控制器
tunnel模式下,控制訊息與資料流只有單一位置流向
是否需要加密可再做考量