iT邦幫忙

0

關於Fortinet 版本5.2 VPN設定請教~

您好~想請教一下各位,自己是個防火牆設定新手,最近客戶有進了一台Fortinet 60D要安裝,基本設定連線上網OK,另外上網有搜尋到中華電信有提供http://fttb.hinet.net/3ip/download/FortoOS_5.2-VPN.pdf關於中華電信說明書,目前照著設定已OK,可以正常連入到企業內部。

但有點不太了解,就是說明書裡的15.16頁是新增一筆VPN進去到intelnal這條,但有看過手邊別家公司的VPN設定(同樣型號,也同樣的需求設定),卻分成好幾條,如下

請問不知差別是在~~

另外想請教一下,當我key入遠端的IP,卻無法連到設定網頁,ping IP是OK,變成只能透過像192.168.0.1去連線,是否是哪裡還需要打開呢~

圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

1 個回答

0
mytiny
iT邦超人 1 級 ‧ 2015-05-29 11:48:13
最佳解答

先提供版大一點小小建議,提到VPN時,最好能說明是何種VPN

手邊別家公司的VPN設定,卻分成好幾條

這個做法很常見,最主要是將不同的目的位置或服務內容分開來觀察
所以你可以看到規則5,6,7,8等各有各的Packe數及流量
未來在分析問題及做設定時,可便於管理

key入遠端的IP,卻無法連到設定網頁

可能原因是網路介面並沒有開放Http或Https的連接許可
請至網路介面內去檢查,是否有核實選項
因版大情況描述不夠完整,猜想還另一種可能
是防火牆政策沒有開放,
但我猜想還是先檢查網路介面設定為佳

看更多先前的回應...收起先前的回應...
egg606231 iT邦新手 1 級 ‧ 2015-05-29 15:24:58 檢舉

本身是用SSL VPN,所以原來拆成好幾條,也是可以日後好分析原因,這真的要在多研究一下了,至於無法遠端連入的問題,跟您說的一樣,後來確實是https和http並沒有打勾,所以才無法連入,目前已經可以正常連線進去了。謝謝您的提示喔~
另外可否在請教一下,在我的圖片裡,憑證地方就會出現紅色錯誤,目前似乎會造成一下可連線進去一下又不行。

mytiny iT邦超人 1 級 ‧ 2015-05-29 19:51:20 檢舉

版大自己都說了你是照說明書第15,16頁去做設定
怎麼這裡不按說明去做呢?
Fortinet_Factory的憑證要預先從設備下載存到PC端的CA裡
在OS5.2的設定中也很少這樣用,太不方便了
版大再仔細看一下說明吧

egg606231 iT邦新手 1 級 ‧ 2015-05-30 10:31:06 檢舉

mytiny提到:
Fortinet_Factory的憑證

mytiny 您好~不好意思,因為我的設定理只有Fortinet_Factory,並沒有像說明書裡的"salf-signed"不知這可以以哪邊新增呢~

感謝您的提醒,這真的是小弟沒看清楚,一直沒意會到這設定根說明書不同,然怪會有時可以VPN進去,有時又不行。

egg606231 iT邦新手 1 級 ‧ 2015-06-02 02:36:14 檢舉

後來我重新把認體從5.2.3降回到5.2.2 之前紅字的地方,已恢復多選項可選擇(之前只剩Fortinet_Factory可選),不知之前是因為5.2.3只能有一個選項還是被我覆蓋錯誤~目前已解決。

可否再請教一下,因為我看說明書裡有一條建立所謂的"Internet Browsing"提供VPN用戶進來可以在連線上網,並適合大陸人士使用,
除了建立規則如下

​並取消分割通道~

那如果說只是單純想給客戶在外面VPN進來後可以存取server資源,這樣還需要設定這兩個項目嗎?如沒設定是否會影響user上網?
user目前是只使用server的Port 768 來存取鼎新的軟體使用,由於來源端本身無固定IP可鎖定,所以才嘗試改成用VPN進去後,在連線到Server。

mytiny iT邦超人 1 級 ‧ 2015-06-03 12:02:10 檢舉

egg606231版大您好:
先回應一下有關SSL-VPN設定的問題
Split Tunnel的作用在於你連上SSLVPN時
同時連到intelnet的其他網站路由的走法為何?
勾選啟用,則上網會直接從使用者當地的閘道出去
只有SSLVPN設定的政策目的會進入Fortigate
不勾選,則所有流量會進到Fortigate,
再視FG的政策與路由,決定下一個前往方向
如果你只是要讓客戶端在外面連上來用鼎新的軟體
基本上Split Tunnel可以取消勾選,避免同時上網感染病毒
若是大陸地區USER想從台灣上網
記得要設ssl.root往wan1的方向
而port號10443,可以變動以避免大陸封鎖

至於憑證問題,因下方要求客戶憑證沒有勾選
照理說是沒有什麼影響的

受限字數限制,建議你應當找進貨代理商詢問
這樣可以把功能弄得更清楚一些
時效性也會比較好

我要發表回答

立即登入回答