步驟 1:建立 SSL VPN 位址物件 (Address Objects)
- 前往 策略與物件 (Policy & Objects) > 位址 (Addresses)。
- 點擊 新建 (Create New) > 位址 (Address)。
- 名稱:SSL_VPN_TUNNEL_ADDR1
- 類型:子網路 (Subnet)
- 子網路/IP 範圍:
10.212.134.200/255.255.255.240(或任何與內部網路不衝突的空閒 IP 範圍)。 - 介面:ssl.root
- 點擊 確認 (OK)。
步驟 2:配置 SSL VPN 設定
- 前往 VPN > SSL-VPN 設定 (SSL-VPN Settings)。
- 在 連線設定 (Connection Settings) 下:
- 監聽介面 (Listen on Interface(s)):選擇 WAN 介面。
- 監聽連接埠 (Listen on Port):預設為
443(視需求更改)。 - 限制存取 (Restrict Access):選擇特定位址或保持為 全部 (All)。
- 伺服器憑證 (Server Certificate):選擇已安裝的憑證或使用預設憑證。
- 隧道模式 (Tunnel Mode):✅ 啟用 (Enable)。
- IP 位址池 (IP Pool):選擇先前建立的位址物件。
- DNS 伺服器:根據您的網路環境輸入內部或外部 DNS。
- 捲動至 驗證/入口網站對應 (Authentication/Portal Mapping):
- 點擊 新建 (Create New)。
- 使用者/群組:選擇對應的使用者或群組。
- 入口網站 (Portal):選擇 full-access(或建立自定義門戶)。
- 點擊 套用 (Apply)。
步驟 3:建立使用者與使用者群組
👤 建立使用者:
- 前往 使用者與驗證 (User & Authentication) > 使用者定義 (User Definition)。
- 點擊 新建 (Create New)。
- 使用者名稱:例如
vpnuser。 - 密碼:設定密碼。
- 點擊 確認 (OK)。
👥 建立使用者群組:
- 前往 使用者與驗證 (User & Authentication) > 使用者群組 (User Groups)。
- 點擊 新建 (Create New)。
- 群組名稱:SSL_VPN_USERS
- 將您的使用者 (
vpnuser) 加入此群組。 - 點擊 確認 (OK)。
步驟 4:建立 SSL VPN 至內部網路的防火牆政策
- 前往 策略與物件 (Policy & Objects) > 防火牆策略 (Firewall Policy)。
- 點擊 新建 (Create New)。
- 名稱:SSLVPN to LAN
- 流入介面 (Incoming Interface):ssl.root
- 流出介面 (Outgoing Interface):lan(或您的內部網路介面)。
- 來源 (Source):SSL_VPN_TUNNEL_ADDR1
- 目的 (Destination):您的內部子網路(或特定的內部資源)。
- 排程 (Schedule):Always
- 服務 (Service):ALL
- 動作 (Action):接受 (Accept)
- 啟用 NAT。
- 點擊 確認 (OK)。
步驟 5:(選填) 建立內部至 SSL VPN 的政策
如果您的內部網路需要主動與 SSL VPN 用戶端發起通訊,請視需求建立此政策。
步驟 6:在 WAN 介面上啟用 SSL VPN 存取
- 前往 網路 (Network) > 介面 (Interfaces)。
- 編輯您的 WAN 介面。
- 在 管理存取 (Administrative Access) 下,勾選 SSL-VPN。
- 點擊 確認 (OK)。
步驟 7:測試 VPN
- 開啟瀏覽器並前往:
https://<您的 WAN IP 或 FQDN>:443 - 使用 VPN 使用者憑證登入。
- 若需要隧道模式,請下載並安裝 FortiClient。
✔️ 小撇步 ( Tips )
- 可使用 Let’s Encrypt SSL 憑證 來取得免費的 HTTPS 存取(選填)。
- 您可以在 VPN > SSL-VPN 入口網站 (SSL-VPN Portals) 下建立自定義門戶,以設定 分割隧道 (Split Tunneling)、書籤等功能。
- 可在 監視器 (Monitor) > SSL-VPN 監視器 (SSL-VPN Monitor) 查看已連線的使用者。
