Friday, March 11, 2011

如何設定 SSL VPN 分割通道 on Fortigate 80C

以前用 VPN 沒什麼好感
因為每次切到 VPN 通道網路就會被整個帶過去
下載的檔案、MSN、連正在聽得廣播都會斷
而且速度又慢,真不知道那些大公司用 VPN 怎麼都很像很開心 ._.

直到公司買了一台 Fortigate 80C 才慢慢瞭解 SSL VPN 除了連線方便快速以外
還有很多好用的地方!
這 VPN 的連線速度實在不是一般家用的 router 可以比擬的
另外 Fortigate 的界面比 Juniper 好上太多了

回到正題
首先要先瞭解,為什麼要設定分割通道(split tunneling)
如果不設定的話,那你連上 VPN 後所以的網路傳輸都會透過 VPN 那端的網路進行
如果你今天在家裡 on call 要連到公司處理事情
但連上後,做完事情忘記切斷 VPN
如果上網逛網拍,打線上遊戲,再來看一下 PPS 網路電視
除了"佔據"公司網路頻寬以外,你的網路行為可能都被 Log 下來了

如果有設定分割通道
那麼除了處理公司的事情,其他的網路行為都不會從公司繞出去
這樣就會"自然"很多


FortiOS版本:
  • v4.0,build0313,110301 (MR2 Patch 4)

網路環境說明:
  • DMZ : 10.10.2.0/24

Step 1. 到 Firewall -> Address -> Address -> Create New 建立該 Interface 要被隔開的 IP 或網段












Step 2. 到 Firewall -> Policy -> Policy -> Create New 建立 Policy


















Step 3. 到 VPN -> SSL -> Portal 選擇之前新增的 Portal 編輯
這邊我找超久的 orz...
點選 TUNEL Mode 右邊圈圈處編輯,IP Pools 選擇之前設定 SSL VPN 使用者的群組
然後把下面的 Split Tunneling 勾起來
然後切記要按下上面的「Apply」儲存













Step 4. 如果正在 VPN SSL 連線,請斷掉重連即可看到效果


檢測方式:
  1. 可以 tracert 看看是否出去的 route 是否正常 :)
  2. 可以用 route print 看看 routing table



參考資料:

2 comments:

藍天蔚 said...

大大您好,
公司目前也是用80c fortigate,但是按照設定到第二步就不一樣了,也沒有辦法繼續下去,是不是有辦法跟您取得連繫,教導我如何做設定,或是有沒有更清楚的方式可以讓我去學習設定呢?謝謝您

Goodspeed said...

您好,畫面不同的部份我猜是韌體版本不同,因為我有更新過到 v4,所有些地方可能會不同。舊的版本可以參考這邊 http://www.askasu.idv.tw/index.php/2009/05/17/493/