iT邦幫忙

2

Fortigate SSL VPN 2FA 相關問題

fortigate ssl vpn
Kailis 2025-06-18 16:14:301902 瀏覽

  • 分享至 

  • xImage

如標題, (Fortigate 200F ,Ver 7.4.8)
1.想請問有沒有人將 Fortigate SSL VPN 2FA 改為使用 Google Authentication 驗證過的? 因使用者多的話, 使用Forti 原廠的Fortitokenmobile 費用很高,
2.若要改為google 驗證, 是否一定要訂閱 Google Worksapce 服務?
看了一些教學都要先到 admin.google.com 去設定,看起來是必須google workspace ?

或是有其它好的建議?

看更多先前的討論...收起先前的討論...
wenchengkao iT邦新手 5 級 ‧ 2025-06-19 08:52:16 檢舉
我們家是使用另外一家公司的多因子..他扮演Radius Server 導向認證之後提供多因子認證...其實真得先求有..下面的email也是一種方式
Kailis iT邦研究生 1 級 ‧ 2025-06-19 10:06:07 檢舉
跟bluegress 說的方式差不多,
請問是那一家廠商的第三方? 只要比Forti 原廠的便宜都可以評估看看
I.T. Wang iT邦研究生 5 級 ‧ 2025-06-19 13:39:26 檢舉
google authenticator我記得是免費而且不用訂閱阿? 我用半年了
Kailis iT邦研究生 1 級 ‧ 2025-06-19 14:21:22 檢舉
是的, 我也用幾年都是免費的, 所以請參考以下連結
https://community.fortinet.com/t5/FortiGate/Technical-Tip-Fortinet-SSL-VPN-with-G-Suite-MFA-using-SAML-and/ta-p/217581
登入發表討論
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

4 個回答

0
bluegrass
iT邦高手 1 級 ‧ 2025-06-18 16:32:02
最佳解答

技術上可以, 旦要用一台FreeRADIUS做代理

https://mistertanuki.blogspot.com/2018/07/enable-fortigate-2fa-with-free-google-authenticator-part-2.html

看更多先前的回應...收起先前的回應...
Kailis iT邦研究生 1 級 ‧ 2025-06-18 16:46:13 檢舉

看了一下, 但就沒有part2 教學了..而且是7年前的文章,斷在最關鍵的地方

bluegrass iT邦高手 1 級 ‧ 2025-06-18 17:01:46 檢舉

https://hackmd.io/@farmer87/enable_2fa

基本上你可以參考這個做法, FORTIGATE很被動, 基本只是去抓RADIUS

重點是FREERADIUS的設定

搞好之後, 你FORTIGATE上的REMOTE USER NAME記得要跟FREE RADIUS 上的用戶名一致才能通過

Kailis iT邦研究生 1 級 ‧ 2025-06-18 17:09:50 檢舉

好的,感謝,我來研究一下, 看能不能達成

bluegrass iT邦高手 1 級 ‧ 2025-06-18 17:21:09 檢舉

迷之聲: 如果沒有提示輸入MFA,

直接把MFA數字輸入在用戶密碼後邊就是了

比方用戶密碼是123456, MFA數字是13579

那登入時候密碼就是12345613579

Kailis iT邦研究生 1 級 ‧ 2025-06-24 17:33:11 檢舉

謝謝, 已可用 google authetication 2fa 驗證了

bluegrass iT邦高手 1 級 ‧ 2025-06-25 13:40:52 檢舉

不客氣 =]

登入發表回應
0
rb1102
iT邦研究生 1 級 ‧ 2025-06-18 16:26:21

我自己是用兩種做法

  1. Email的2FA
    這個免費,雖然電子郵件不是最安全的驗證方法,不過總比沒有好
  2. SAML login
    我是用M365 Entra ID,登入vpn時會跳轉到365登入做驗證
Kailis iT邦研究生 1 級 ‧ 2025-06-18 16:47:50 檢舉

email 可以考慮.真的是有比沒有好,

我們公司也有用m365 , 但外廠沒有..這個VPN 是給外廠用的 ,可惜了

登入發表回應
0
mytiny
iT邦超人 1 級 ‧ 2025-06-19 09:25:21

如果搞得清楚認證關係
就知道2FA只是需要Idp
所以關鍵是Idp與SP要能互通
原廠有建議一大堆SAML的Idp
都是可以搞認證的

在下是建議與其一直花時間搞第三方案
為何不直接採用穩定的原廠方案至少還可以諮詢技術
該花錢需要費用就請老闆編經費
免錢的第三方搞起來搞不起來日後都是麻煩要擔責任
不用替老闆省這筆該花的費用

另外官方已公告七月以後
Fortinet mobileToken雖然還是終身制
但已經不能再移轉到其他設備
現在買還來得及

Kailis iT邦研究生 1 級 ‧ 2025-06-19 10:12:18 檢舉

是的,還有一個隱憂就是怕使用者太多, FW 承受不住, fortitoken 錢花下去了, 結果不能太多人同時上線
其實我也考慮過使用開源 openvpn 安全性看起來也不錯, 比ivanti 商用被發現的漏洞還少,只是不知道是否能達成想要的需求

加上很多老闆普遍覺得開源的安全性就差, 花時間弄好,被澆冷水就不好了

mytiny iT邦超人 1 級 ‧ 2025-06-23 15:02:12 檢舉

開源 openvpn 安全性看起來也不錯

這幾年內 OpenVPN 漏洞也不少:
1. CVE-2019-14899
2. CVE-2020-15078
3. CVE-2020-13774
4. CVE-2021-22922
5. CVE-2021-22923
6. CVE-2022-0121
7. CVE-2022-27774
8. CVE-2023-5150

看過上述資料後,還會想用嗎?

有漏洞不可怕,最主要是開源軟體,沒有商用軟體須修正漏洞的即時性及必要性,可自行再參考

登入發表回應
0
djmax
iT邦新手 5 級 ‧ 2025-06-19 14:12:12

用mail最簡單, 不過會碰到偶爾收不到信的情況

只是我記得在某版FortiOS後 mail選項就被隱藏
要進CLI手動打開

Kailis iT邦研究生 1 級 ‧ 2025-06-19 14:22:18 檢舉

好的,如果搞不定 freeradius with google authentication, 我再改用email 看看

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22215
完賽人數
600
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙