2017年1月12日 星期四

S小魚仔S Fortigate 5.4.3 Firewall Tunnel SSL VPN

如何「設定」Tunnel SSL VPN,相信各位「出國」朋友都有這個困擾尤其是「對岸」需要「翻牆」,開始實作嚕。
PS
Tunnel SSL VPN」需要一組 Tunnel(隧道)Class C」網段。



1.「Creating A User And A User Group」(建立「使用者」與「群組」)

建立「使用者





建立「群組」加入「使用者


2.「Creating An SSL VPN Portal For Remote Users」(建立 SSL VPN 入口 給 遠端 使用者)

修改「Default」tunnel-access

停用」啟動切分隧道
PS. 「此步驟非常重要


3.「Configuring The SSL VPN Tunnel」(建立 SSL VPN 通道)



1. 設定 介面監聽「WAN」端口
2. 設定 Listen on Port「10443」,請勿使用「443」這樣會和「Web UI」起衝突
3. 允許從任何主機訪問
4. 選擇「自動分配地址」 
5. 選擇「相同的客戶端系統DNS
6. 加入「Group (群組)」=> Portal「Tunnel-Access
所有其他用戶/群組 =>Portal「Tunnel-Access

4.「Adding An Address For The Local Network」( 建置 Internal 網段 聯絡地址)




5.「Adding Security Policies For Access To The Internal Network And Internet」(設定 防火牆 規則 sslvpn隧道介面Internal (内部)Internet (網際網路) )

設定「sslvpn隧道介面 To Internal (內部)

1. 建立「名稱
2. 設定「來源」介面
3. 設定「目的」介面
4. 設定「來源IP群組
5. 設定「目的地址」選擇「Internal_Zone(聯絡地址)
PS. 建議不使用 All 這樣所有內網都可進行「通訊
6. 設定「啟用時段
7. 使用那些「服務
8. 點選「接受
9.啟用「NAT
10. 紀錄合法流量

設定「sslvpn隧道介面 To Internet (網際網路)

6. 安裝「Fortigate Clinet」工具進行連接



透過「What Is My IP Address?」就可以知道您的「Tunnel SSL VPN」IP 位址。

PS.  
Windows OS  需要安裝「Fortigate Clinet」工具。
Android          需要安裝「Fortigate Clinet」APP。


參考資料
Fortinet」-「SSL VPN Web And Tunnel Mode

S小魚仔S Fortigate 60D 升級 Firmware 5.4.3 Web UI 反應好慢?

第一次使用「Fortigate 60D」防火牆產品,有些使用心得。
Fortigate」是一臺 功能很強的「防火牆」產品,整合功能非常多,但是必須知道這些功能...開越多..越吃效能,因「硬體」不強。

最佳化配置,關閉不需要「功能(僅供參考)


Fortigate 功能很多,但只要開啟「UTM」功能就是「悲劇開始」,建議捨去「UTM」功能,使用「Firewall Policy」、「VPN」、「VLAN」、「Syslog Forward」、「QOS」、「SPAN」、「NetFlow」、「sFlow」這些功能足以應付「處理器」負載。

PS
Fortigate 60D 並不支援 網路聚合(LACP)」需要購買「Fortigate 60E」以上型號,並更新「6.0.X」韌體就可以支援了。

參考資料 
Mobile01」-「Fortigate 60D&80D 產品效能&VPN問題