之後的版本要拿掉SSLVPN
改用IPsecVPN,看起來名稱是Remote Access
有設定的小地方要注意嗎
我照wizard 但根本連連線都沒過..
預設是走443嗎
Agentless就是SSLVPN的web通道
我覺得最後也是會被消失的
IPSec要用FortiClient VPN的後繼產品Standaralone FortiClient
FortiClient需要EMS license,FortiSASE/ZTNA需要他
而IPSec每周都有人在Reddit的Fortinet子版求救
我個人是直接放棄IPSec,尤其當使用者資訊能力連帳號密碼輸入都需要求救IT的時候
IPsec 預設是UDP
如果是TCP OVER IPSEC就443, 可以用COMMAND 改
IPSEC 的CLIENT TO SITE已經幫好多個客戶處理過了
只要明當中原理其實沒什麼問題跟難道
主要都是 SAML MFA / LDPA 去認證VPN



以下的回答可能跟原廠的意願不同,請自行參考斟酌
Fortinet官方已公告
FortiOS v7.4 End of Support: 11 Nov 2027 -> 11 Nov 2028
所以如果希望用免費的SSLVPN
可以停留在7.4繼續用
因為IPsecVPN的撥接方式實在太多問題
而官方Forticlient free版本更新卻一直未能完整解決
(猜想原本官方就希望改成收費版吧)
如果防火牆有一定要用到的功能而非得升級到OS 7.6以上
(目前到7.6.7仍不算穩定,雖然標M版)
那麼,買台FG-70F放在NGFW後面
這樣防護sslvpn的功能交給前方NGFW來作用
花少數費用就可以繼續用sslvpn到天荒地老
不用改什麼鬼SAML認證IPsecVPN
期待有一天原廠能醒悟這是一個噩夢
恢復 sslvpn 功能
如果希望收費
難道不能改為功能性收費像FortiGuard那樣嗎?
總比弄得架構改來改去好多了
或學學其他品牌改用OPENVPN作為SSLVPN也是可以的,
可惜的是自從FORTIGATE SSLVPN被黑之後,
就變得十分專制獨裁
單方面移除SSLVPN功能, 然後迫用戶改用IPSEC
然後IPSEC又問題多多, 想開TICKET又說沒有SASE/EMS LICENSE是不會支持
完全就是爛攤子讓用戶自生自滅的不負責任行為.
FORTISASE那邊更是出現過如果不換成IPSEC
就強制重置你整個SASE的瘋狂公告
旦那怕如果你願意換成IPSEC
也是要你自己手動去重新配置的, 沒有官方幫忙
這點對FORTINET的品牌跟印象真的扣了很多分.
最後還好是原廠也是面對現實暫時放置有關做法
最近都不太敢賣FORITGATE了, 目前考慮改推SOPHOS
SDWAN功能也不錯用
與其用其他SSLVPN
放一台FGT在防火牆後面專門搞個VIP做SSLVPN很難嗎?
網路架構解法很多
Fortigate主要功能也不是只有sslvpn
善用FGT的功能才是重要的
把防火牆解憑證後掃描開起來吧
再不處理加密流量就真的只是個路由器了
不一定是要用FGT在防火牆後面
用其他放在在防火牆後面也可以
其他品牌自己本來就有自己SSLVPN
也能解憑證後掃描處理加密流量
網路架構解法很多, 旦這種情況下真的不一定要Fortigate