iT邦幫忙

3

防疫臨時辦公室的快速建立(免用VPN)

看過雷伊大大的文章之後
一時興起也想寫篇最近客戶常問到的議題
如何快速建立因應新冠肺炎(COVID-19)疫情
而需快速建立的防疫(隔離)辦公室
以利在員工不能進入公司時能順利工作

客戶還希望有幾點要求

  1. 架構單純化,盡量少設定,不要用VPN
  2. 使用上無障礙,最好能跟原來在辦公室上班一樣
  3. 安全性要夠,需要辨識身分,做好防毒防駭
  4. 建置時間要快,最好ISP一通就能使用
  5. 費用要便宜,沒預算買防火牆

看完以上需求
直接建議客戶採用Fortinet Remote FAP
原因如下:

  1. 客戶原本就已經使用Fortigate防火牆
  2. 只要防火牆WAN口開放Capwap就可,雙WAN還可建備援
  3. 防疫辦公室只要一台FAP設定好"隨插即用",30人左右都可使用
  4. 筆電打開就跟在總公司一樣,無須裝插件,無需記網址輸帳密
  5. 可以做設備辨識BYOD、防毒、防駭
  6. 臨時辦公室可以不用Fortigate,非常省經費

結論:

  1. 只要一台FAP無線基地台(當然,多台也可以)
  2. 真的不用VPN,設定超簡單五分鐘完成
  3. 客戶加問:本地快速列印如何解。(嗯!下回有空再聊)

2 則留言

1
雷伊
iT邦研究生 1 級 ‧ 2020-03-18 15:41:57

感謝您提及我的文章
我一直認為把用戶端VPN設定做成懶人包執行檔是一件很瞎的事
執行後畫面閃一下不到一秒就裝好了(伺服器名稱、PSK共同金鑰、通訊協定全都自動寫好了)
VPN開關也是(帳戶密碼寫好),一週換一次改過密碼的BAT檔給用戶也只是求個心安

為了閃一下的事情被同事詢問了100多人次,因為他們沒法確定VPN是否連線成功
用免費的方案結果最可憐的就是IT,都寫成PPT了還是一直被追用,尤其是用MAC的同事
https://ithelp.ithome.com.tw/upload/images/20200318/20117139ZZZlqmQv9o.png

https://ithelp.ithome.com.tw/upload/images/20200318/20117139YDfvYGhDIx.png

看更多先前的回應...收起先前的回應...
mytiny iT邦大師 1 級 ‧ 2020-03-18 22:31:07 檢舉

在下建議的方法就是不用VPN
使用者習慣越不用改變,接受程度更高
要那些高階主管登VPN,肯定問不完的事
都歡迎各位網上先進給予指教
也歡迎一起討論

mytiny iT邦大師 1 級 ‧ 2020-03-19 21:15:31 檢舉

很好奇怎麼都沒人問:如何FAP設定好"隨插即用"
自己來揭曉一下,
原來FAP裡可以指定控制器(AC)的IP
把它設定Fortigate的WAN IP即可
最多還可以設3組(所以可以做線路備援)
然後資料流就可以從家裏或防疫辦公室一直穿越回總公司
好像VPN一樣,是不是很神奇

mytiny iT邦大師 1 級 ‧ 2020-03-27 17:21:45 檢舉
雷伊 iT邦研究生 1 級 ‧ 2020-03-30 10:11:49 檢舉

不用VPN的確新引人,10幾年前菜的時候直接開Port讓用戶透過密碼存取,後來綁架勒索病毒流行後我就不敢了
在疫情期間業務緊縮我儘可能的不要讓老闆在花錢
請問前輩您這套方案最少要有甚麼設備才能辦到?

mytiny iT邦大師 1 級 ‧ 2020-03-30 17:30:12 檢舉

雷伊大大您客氣了
其實這套方案的前提是要有Fortigate
(任何型號都可以,買二手的也行)

然後再買任一台FortiAP就可以做到的
(延伸運用的型號請見延伸運用(NAS及本地列印)

0
Sergeyau
iT邦研究生 2 級 ‧ 2020-03-22 21:45:56

想請教一下這種做法,從遠端回來的流量有加密嗎?

zyman2008 iT邦大師 8 級 ‧ 2020-03-23 07:59:13 檢舉

ForiAP的tunnel mode跑TLS,所以是加密的.
Aruba跑IPSec.

mytiny iT邦大師 1 級 ‧ 2020-03-23 09:59:20 檢舉

其實,FortiAP與Fortigate之間
有控制訊息與資料流二部分
在資料流部分,
FAP是可以選擇Clear Text or DTLS Enabled
不同於他牌控制器
tunnel模式下,控制訊息與資料流只有單一位置流向
是否需要加密可再做考量

mytiny iT邦大師 1 級 ‧ 2020-03-27 17:19:51 檢舉

我要留言

立即登入留言