iT邦幫忙

2

Fortigate Remote Access

  • 分享至 

  • xImage

之後的版本要拿掉SSLVPN

改用IPsecVPN,看起來名稱是Remote Access

有設定的小地方要注意嗎
我照wizard 但根本連連線都沒過..
預設是走443嗎

看更多先前的討論...收起先前的討論...
望空 iT邦研究生 2 級 ‧ 2026-06-12 17:09:44 檢舉
可以改嘗試agentless vpn
agentless vpn應該是以前的web vpn, 是不是也有限制特定機型才可以啟用?
我都是幫助客戶轉換到dial-up IPSecVPN如果可以的話我會推薦將FortiOS更新到7.6,因為這樣可以改用類似以前SSLVPN方式用policy方式管理不同群組的使用者。
以下是原廠的說明和範例
https://support.fortinet.com.cn/vpn/ipsec_vpn/dialup_vpn/ipsec_multiple_user_groups_auth#%E9%98%B2%E7%81%AB%E5%A2%99%E7%AD%96%E7%95%A5%E9%85%8D%E7%BD%AE%E7%94%A8%E6%88%B7%E7%BB%84
https://support.fortinet.com.cn/vpn/ssl_vpn_to_ipsec_migration/introduction
keverna iT邦新手 5 級 ‧ 2026-06-15 08:52:30 檢舉
Agentless vpn在7.6.6以後就不行用了 這也是舊的sslvpn架構
望空 iT邦研究生 2 級 ‧ 2026-06-15 09:11:05 檢舉
還可以用,要用指令把gui介面開出來
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中
2
mathewkl
iT邦高手 1 級 ‧ 2026-06-14 11:55:28

Agentless就是SSLVPN的web通道
我覺得最後也是會被消失的

IPSec要用FortiClient VPN的後繼產品Standaralone FortiClient
FortiClient需要EMS license,FortiSASE/ZTNA需要他

而IPSec每周都有人在Reddit的Fortinet子版求救
我個人是直接放棄IPSec,尤其當使用者資訊能力連帳號密碼輸入都需要求救IT的時候

0
bluegrass
iT邦大師 1 級 ‧ 2026-06-15 14:22:03

IPsec 預設是UDP

如果是TCP OVER IPSEC就443, 可以用COMMAND 改

IPSEC 的CLIENT TO SITE已經幫好多個客戶處理過了

只要明當中原理其實沒什麼問題跟難道

主要都是 SAML MFA / LDPA 去認證VPN

https://ithelp.ithome.com.tw/upload/images/20260615/20102031ZXR6qWEhtD.png

https://ithelp.ithome.com.tw/upload/images/20260615/20102031n5b4AoXS0r.png

https://ithelp.ithome.com.tw/upload/images/20260615/201020313GCdG4zoOX.png

keverna iT邦新手 5 級 ‧ 2026-06-15 14:53:41 檢舉
keverna iT邦新手 5 級 ‧ 2026-06-15 14:55:04 檢舉

it幫幫忙用不習慣 變成推文 也不能刪除 算了ww

bluegrass iT邦大師 1 級 ‧ 2026-06-16 17:49:42 檢舉

還真比較少用wizard去設定, 我是用CLI直接處理,
EMS就從來沒啟用過XD

1
mytiny
iT邦超人 1 級 ‧ 2026-06-17 22:04:43

以下的回答可能跟原廠的意願不同,請自行參考斟酌

Fortinet官方已公告
FortiOS v7.4 End of Support: 11 Nov 2027 -> 11 Nov 2028

所以如果希望用免費的SSLVPN
可以停留在7.4繼續用
因為IPsecVPN的撥接方式實在太多問題
而官方Forticlient free版本更新卻一直未能完整解決
(猜想原本官方就希望改成收費版吧)

如果防火牆有一定要用到的功能而非得升級到OS 7.6以上
(目前到7.6.7仍不算穩定,雖然標M版)
那麼,買台FG-70F放在NGFW後面
這樣防護sslvpn的功能交給前方NGFW來作用
花少數費用就可以繼續用sslvpn到天荒地老
不用改什麼鬼SAML認證IPsecVPN

期待有一天原廠能醒悟這是一個噩夢
恢復 sslvpn 功能
如果希望收費
難道不能改為功能性收費像FortiGuard那樣嗎?
總比弄得架構改來改去好多了

看更多先前的回應...收起先前的回應...
望空 iT邦研究生 2 級 ‧ 2026-06-18 13:50:55 檢舉

7.6.7剛出來的時候還造成ipsengine crash...總之是不敢再用

bluegrass iT邦大師 1 級 ‧ 2026-06-22 09:53:01 檢舉

或學學其他品牌改用OPENVPN作為SSLVPN也是可以的,

可惜的是自從FORTIGATE SSLVPN被黑之後,

就變得十分專制獨裁

單方面移除SSLVPN功能, 然後迫用戶改用IPSEC

然後IPSEC又問題多多, 想開TICKET又說沒有SASE/EMS LICENSE是不會支持

完全就是爛攤子讓用戶自生自滅的不負責任行為.

FORTISASE那邊更是出現過如果不換成IPSEC
就強制重置你整個SASE的瘋狂公告
旦那怕如果你願意換成IPSEC
也是要你自己手動去重新配置的, 沒有官方幫忙
這點對FORTINET的品牌跟印象真的扣了很多分.
最後還好是原廠也是面對現實暫時放置有關做法

最近都不太敢賣FORITGATE了, 目前考慮改推SOPHOS
SDWAN功能也不錯用

mytiny iT邦超人 1 級 ‧ 2026-06-25 21:45:55 檢舉

與其用其他SSLVPN
放一台FGT在防火牆後面專門搞個VIP做SSLVPN很難嗎?

網路架構解法很多
Fortigate主要功能也不是只有sslvpn
善用FGT的功能才是重要的

把防火牆解憑證後掃描開起來吧
再不處理加密流量就真的只是個路由器了

bluegrass iT邦大師 1 級 ‧ 2026-06-27 17:25:40 檢舉

不一定是要用FGT在防火牆後面
用其他放在在防火牆後面也可以

其他品牌自己本來就有自己SSLVPN
也能解憑證後掃描處理加密流量

網路架構解法很多, 旦這種情況下真的不一定要Fortigate

我要發表回答

立即登入回答