FG110C SSL VPN Web‐only Mode 設定說明 

FG110C SSL VPN Web‐only Mode 設定說明 

臺中市學術網路管理委員會榮譽委員  沈俊達  壹、功能與優缺點 

將學務系統利用防火牆阻擋校外連線要求(port80)，只允許校內存取，以增加資安。教師在校外 時，需使用 SSLVPN 連入，利用 proxy 功能存取學務系統或校內網路磁碟機等內部資源。 

優點：僅需瀏覽器及 Java runtime 環境，一般老師容易上手操作。 

缺點：無法透過 proxy 支援連線 Internet(未來電子公文線上簽核鎖校內連線)。 

貳、本次示範網路架構(port8 不一定要有) 

參、建立防火牆位址物件 

操作步驟：防火牆物件位址建立新的 

一、FG‐110C public ip 位址：以本市目前網路架構就是 wan1 的位址  

例如：fg‐110c(163.17.235.253) 注意：正常各校應該為 163.17.xxx.254，本校為特例。 

二、學校整個 ipv4 網段位址： 

例如：fuyaes_ipv4(163.17.235.0/255.255.255.0) 

三、sslvpn_tunnel_address：Web‐only Mode 用不到，但是將來 Tunnel Mode 要用，所以先設定以  無妨，請找一段不常使用的 Private IP 位址。 

肆、建立防火牆服務物件   

操作步驟：防火牆物件服務用戶自訂建立新的 

名稱：自由設定    目的埠：10443 

伍、設定 SSL VPN   

操作步驟：VPNSSLSSL 設定 

登入埠號：預設為 10443，建議依照預設值(方便未來 tunnel mode 配合 FortiClient SSLVPN)  DNS 主機和 WINS 主機請設定學校的 DNS Server 和 WINS Server(無 WINS Server 則免) 

陸、新增入口頁面   

入口頁面是指當隸屬於某個群組的使用者通過帳號密碼驗證後，接下來所看到的頁面  操作步驟：VPNSSLSSL 入口頁面建立新的 

以 Web‐only Mode 來說，建議入口頁面就是放置「連線對話資訊」和「書籤」二個 Widget 即可   一、編輯設定： 

1. 名稱：為這個入口頁面取一個名字，稍後設定使用者群組時，要指定隸屬於該群組的人 

登入後，應該要使用哪一個入口頁面時會用到。 

2. 應用軟體：允許這個入口頁面使用哪些服務，有勾選的稍後才能出現在設定書籤時的選 項。(請視貴校需提供的服務來勾選) 

3. 首頁訊息：就是這個網頁的 Title。 

4. 頁面格式：自行決定要單欄還是雙欄版面。 

5. 重新導向網址：使用者登入後，彈出另一個指定的網頁。(例如貴校首頁)  二、請將「Connection Tool」和「Tunnel Mode」這二個 Widget 刪除。 

三、編輯「Session Information」Widget：(可做可不做)    1. 點選「筆」，進入編輯狀態 

2. Name：輸入這個 Widget 的 Title   

四、編輯「Bookmarks」Widget：(提供連線服務的簡便書籤)   

1. 點選「筆」，進入編輯狀態 

  2. 名稱：輸入這個 Widget 的 Title 

點選新增，建立新的書籤 

3. 示範：建立連線到學務系統的書籤   

4. 示範：建立連線到共用資料夾(網芳、Samba)   

\\server\資源分享區  (server 為提供服務主機的電腦名稱，用 ip 也可以) 

五、完成所有的書籤後，請點選左上角的「OK」，完成這個入口頁面的建置。 

柒、新增使用者帳號(先示範最簡單的本機帳號，以後再介紹 RADIUS 認證)    操作步驟：使用者認證使用者認證建立新的 

密碼建議至少 6 個字元   

捌、新增使用者群組 

操作步驟：使用者認證使用者群組使用者群組建立新的 

1.名稱：自訂一個適當的群組名稱   

2.群組類型：防火牆 

3.勾選「允許 SSL‐VPN 存取」並選擇剛剛建立的「Web Access Only Protal」，意思是隸屬於這個群 組的使用者登入後會使用「Web Access Only Protal」這個入口頁面。 

4.將上一步驟新建的使用者帳號(sslvpn_user1)加入這個群組的成員。 

玖、建立防火牆規則(總共 3 條規則)   

這部分是 Fortigate SSL VPN 設定的最重要觀念，無論是官方文件或是網路上的範例，wan2 接 Internet 的位址一定都是 Public IP，wan1 接 Internal 的位址一定是 Private IP。但是偏偏學術網路 剛好相反，wan2 接 Internet 的位址居然是 Private IP，wan1 接 Internal 的位址反而是 Public IP。

所以很多人看了許多文件還是觀念模糊，似懂非懂。因此接下來除了實作外，請務必徹底瞭解每 一個規則的原理。 

操作步驟：規則防火牆策略防火牆策略建立新的 

一、允許 wan2(校外)的 all 對 wan1(校內真實 IP 網段)的學校整個 ipv4 網段位址，放行 ssl‐vpn 行  為。請注意：圖中 1 號目的位址名稱若設為 all 或 fg‐110c 雖然也都可以達到目的，但是若是 設為 all，將來在 Tunnel Mode 時若採用分離通道模式，會出現錯誤(因為無法判斷目的網段，

就無法調整 client 端路由設定)。若設為 fg‐110c，則稍後書籤會無法連線(因為只能對 163.17.xxx.254 做 ssl vpn 動作) 

按下圖中 2 號按鈕，設定哪些 SSL‐VPN 群組可以進行 SSL‐VPN。   

最後按下下圖中的確定鈕，就完成 SSL‐VPN 行為的放行   

二、無論是官方文件或是網路上的範例，都指出只要完成這條規則，就可以用   

https://wan2_IP:10443 連線準備登入，可惜的是前面已經說明學校的 wan2 是 Private  IP(10.200.xxx.xxx)，也就是說只能在市網管轄範圍內 A 校對 B 校進行

https://10.200.16.126:10443(如下面圖片) 

因為您在家中(市網以外)，絕對無法連線 10.200.xxx.xxx 這種 Private IP 的。 

三、為了要能 https://163.17.xxx.254:10443 來出現 SSL‐VPN 登入畫面，必須再增加 2 條規則，這  是因應學術網路目前架構必須的作法。 

四、允許 wan2(校外)的 all 對 wan1(校內真實 IP 網段)的 fg‐110c(163.17.xxx.254)  放行：port443 和 port10443 

原理：因為我要對 wan1 的位址 163.17.xxx.254 進行 https://163.17.xxx.254:10443 連線  當然要放行 port443 和 port10443 

五、允許 wan1(校內)的 fg‐110c 對 sslvpn 通道介面(ssl‐root)的 sslvpn_tunnel_address，放行 ssl‐vpn  行為。請注意：圖中 1 號目的位址名稱若設為 all 雖然也可以達到目的，但是若是設為 all，

將來在 Tunnel Mode 時若採用分離通道模式，會出現錯誤(因為無法判斷目的網段，就無法 調整 client 端路由設定)。 

其實圖中的「目的介面/域名」設為 port1~port8 或 wan1~wan2 任何一個介面，都可以。 

原理：這條規則才是真正的 SSL‐VPN，因為前面步驟四對 wan1 的 163.17.xxx.254 放行 port443 及 port10443，我們僅能從 wan2 以 https://163.17.xxx.254:10443 連線到 wan1，因此才需要 從 wan1 的 163.17.xxx.254 對任何一介面再做一次 SSL‐VPN 行為。 

壹拾、 連線示範   

一、https://163.17.xxx.254:10443，請點選「繼續瀏覽此網站」 

二、輸入帳號密碼   

三、登入成功   

四、連線學務系統：   

請點選「學務系統」書籤，會開出新的視窗以 

https://163.17.235.253:10443/proxy/http/sfs.fuyaes.tc.edu.tw/sfs3/  方式連線學務系統 

如此一來，貴校便可將學務系統拒絕從校外直接存取，規定老師一定要從 ssl‐vpn 連入後，

透過 proxy 來連線。 

如果您無法連線，請檢查步驟「玖之一」：一定要設為貴校整個 ipv4 網段。 

五、存取網芳資源(共用資料夾或 Samba)   

請點選「校內 P:磁碟~資源分享區」書籤，會開出新的視窗，請輸入登入這台主機的帳密 

壹拾壹、 探討   

一、請問當使用者通過帳號密碼驗證，進入 SSLVPN 入口頁面時，他的電腦 IP 位址變更了嗎？ 

答：沒變，還是原來所在位置 ISP 提供的位址，可從 SSL‐VPN 監視頁面證明。 

二、這時防火牆認定他的位址是在 wan1,wan2 或是 ssl.root 介面？   

答：當然是 wan2。 

三、那這時我連線學校內部網頁，會判斷我是校內還是校外連線？ 

答：這個分兩個層次來解釋，第一由於是透過 https://163.17.xxx.254:10443/proxy/http/學務 系統網址/，所以 web server 會認為是 163.17.xxx.254 這個 proxy 要求連線，所以 web server 會判定是校內。例如下圖是本校留言版，可以發現來源位址是 163.17.235.253。 

第二部分則是網頁程式的判讀，學務系統的開發人員太厲害了，即使你透過 proxy 連線，他  還是可以正確取得您背後原始的 IP 位址，所以還是認定您是在校外，因此校內文件還是無 法觀看(除非登入)。下圖可證明： 

四、如果學務系統在 port8 的 Private IP，這時要如何連線？   

答：新增一條防火牆規則 

允許 wan2(校外)的 all 對 port8 的整個 Private IP 網段位址，放行 ssl‐vpn 行為。 

(圖中的 192.168.8 是防火牆位址物件，指的是 192.168.8.0/255.255.255.0) 

示範：例如本校 port8 為電腦教室網段(192.168.8.0/24)，其中有一部 48 埠交換器 IP 位址為  192.168.8.1 

五、可以新增一個書籤連到 Internet 嗎？   

答：理論上可行，但因學術網路目前 wan2 是 Private IP，所以無解。 

新增一條防火牆規則 

允許 wan2(校外)的 all 對 wan2 的 all，放行 ssl‐vpn 行為。(很神奇的規則吧！你可能想都沒想 過還可以 wan2 對 wan2 放行)，為何是 wan2，不要忘記第二題的答案。 

示範：可以到市網管轄內的各校喔！   

但是到不了市網以外   

請看下圖，您知道原因了吧！(不要被誤導，和 ipv6 沒關係)   

所以不要想用 Web‐only Mode 來解決電子公文線上簽核將來要求僅限校內 IP 連線的規範，

那個一定要用 Tunnel Mode 來解決！ 

結語：Web‐only Mode 雖然使用方便但功能有限，且透過 Proxy 方式，常常有些網頁圖片無法正常 顯示，因此建議還是採用 Tunnel Mode 方式較佳。 

2013‐1‐12