FG110C SSL VPN Tunnel Mode 設定說明 

FG110C SSL VPN Tunnel Mode 設定說明 

臺中市學術網路管理委員會榮譽委員  沈俊達  壹、功能與優缺點 

除了將學務系統利用防火牆阻擋校外連線要求(port80)，只允許校內存取，以增加資安外。教師 在家中時，使用 SSLVPN Tunnel Mode 連入，取得校內 Private IP 位址(當然也可以設定為 Public IP 位址)，這時就如同在校內一樣，可以自由自在取用校內網路資源，例如網路磁碟機、病毒碼更 新，甚至連線到網路中心 kms.tc.edu.tw(哈哈！應該知道要做什麼吧！) 

優點：如上所述。 

缺點：除需瀏覽器(IE6 不支援)及 Java runtime 環境外，第一次還需下載安裝 FortiClient SSLVPN 及 ActiveX 元件。 

貳、本次示範網路架構(port8 不一定要有) 

參、建立防火牆位址物件 

操作步驟：防火牆物件位址建立新的 

一、FG‐110C public ip 位址：以本市目前網路架構就是 wan1 的位址 

例如：fg‐110c(163.17.235.253) 注意：正常各校應該為 163.17.xxx.254，本校為特例。 

二、學校整個 ipv4 網段位址：   

例如：fuyaes_ipv4(163.17.235.0/255.255.255.0) 

三、sslvpn_tunnel_address：請找一段不常使用的 Private IP 位址。   

不能和校內已使用的介面網段相同，也請避開一般家用分享器常用的網段。 

這段 IP 位址是將來使用者建立 tunnel 連線時，要分配給 Client 端的 IP 位址。 

四、192.168.8 網段(port8)：   

肆、設定靜態路由   

當使用者建立 tunnel 連線時，會被歸類到 ssl.root 這介面，因此必須告知 FG‐110C ssl.root 可以連 接到 192.168.200.0/255.255.255.0 這個網段，這樣封包才能繞送。 

伍、建立防火牆服務物件   

操作步驟：防火牆物件服務用戶自訂建立新的 

名稱：自由設定    目的埠：10443 

陸、設定 SSL VPN   

操作步驟：VPNSSLSSL 設定 

IP Pools 請點選圖示，將步驟「參‐三」所建立的 sslvpn_tunnel_address 加入。 

登入埠號：預設為 10443，建議依照預設值(方便配合 FortiClient SSLVPN) 

DNS 主機和 WINS 主機請設定學校的 DNS Server 和 WINS Server(無 WINS Server 則免) 

柒、新增入口頁面 

入口頁面是指當隸屬於某個群組的使用者通過帳號密碼驗證後，接下來所看到的頁面  操作步驟：VPNSSLSSL 入口頁面建立新的 

以完整的入口頁面來說，預設就是放置「連線對話資訊」、「書籤」、「連線工具」及「隧道模式」 

四個 Widget，其中「連線工具」適合網管人員測試使用，正常上線時建議可以刪除。 

一、編輯設定： 

1. 名稱：為這個入口頁面取一個名字，稍後設定使用者群組時，要指定隸屬於該群組的人  登入後，應該要使用哪一個入口頁面時會用到。 

2. 應用軟體：允許這個入口頁面使用哪些服務，有勾選的稍後才能出現在設定書籤時的選 項。(請視貴校需提供的服務來勾選) 

3. 首頁訊息：就是這個網頁的 Title。 

4. 頁面格式：自行決定要單欄還是雙欄版面。 

5. 重新導向網址：使用者登入後，彈出另一個指定的網頁。(例如貴校首頁)  二、編輯「Session Information」Widget：(可做可不做) 

1. 點選「筆」，進入編輯狀態 

2. Name：輸入這個 Widget 的 Title   

三、編輯「Bookmarks」Widget：(提供連線服務的簡便書籤)    1. 點選「筆」，進入編輯狀態 

  2. 名稱：輸入這個 Widget 的 Title 

點選新增，建立新的書籤 

3. 示範：建立連線到學務系統的書籤 

4. 示範：建立連線到共用資料夾(網芳、Samba)   

\\server\資源分享區  (server 為提供服務主機的電腦名稱，用 ip 也可以) 

四、編輯「Connection Tool」Widget：(可做可不做)   

Name：輸入這個 Widget 的 Title 

五、編輯「Tunnel Mode」Widget：   

1.名稱：可改為中文   

2.IP Pools：如果不指定，就以 SSLVPN 設定頁面為準，如果在這裡指定，此入口網頁會以此 處設定的 IP 位址來指派給 Client 端。 

3.分離通道模式：以電子公文簽核及連線 kms.tc.edu.tw 需求來設計的話，此處請勿勾選分離 通道模式。 

六、可以依據自己的喜愛，移動各個 Widget 的位置，完成後    請點選左上角的「OK」，完成這個入口頁面的建置。 

捌、新增使用者帳號(先示範最簡單的本機帳號，以後再介紹 RADIUS 認證)  操作步驟：使用者認證使用者認證建立新的 

密碼建議至少 6 個字元   

玖、新增使用者群組   

操作步驟：使用者認證使用者群組使用者群組建立新的 

1.名稱：自訂一個適當的群組名稱    2.群組類型：防火牆 

3.勾選「允許 SSL‐VPN 存取」並選擇剛剛建立的「Full Access Protal」，意思是隸屬於這個群組的 使用者登入後會使用「Full Access Protal」這個入口頁面。 

4.將上一步驟新建的使用者帳號(sslvpn_user2)加入這個群組的成員。 

壹拾、 建立防火牆規則   

這部分是 Fortigate SSL VPN 設定的最重要觀念，無論是官方文件或是網路上的範例，wan2 接 Internet 的位址一定都是 Public IP，wan1 接 Internal 的位址一定是 Private IP。但是偏偏學術網路 剛好相反，wan2 接 Internet 的位址居然是 Private IP，wan1 接 Internal 的位址反而是 Public IP。

所以很多人看了許多文件還是觀念模糊，似懂非懂。因此接下來除了實作外，請務必徹底瞭解每 一個規則的原理。 

操作步驟：規則防火牆策略防火牆策略建立新的 

一、允許 wan2(校外)的 all 對 wan1(校內真實 IP 網段)的學校整個 ipv4 網段位址，放行 ssl‐vpn 行 為。請注意：圖中 1 號目的位址名稱若設為 all 或 fg‐110c 雖然也都可以達到目的，但是若是 設為 all，將來在 Tunnel Mode 時若採用通道分離模式，會出現錯誤(因為無法判斷目的網段，

就無法調整 client 端路由設定)。若設為 fg‐110c，則稍後書籤會無法連線(因為只能對 163.17.xxx.254 做 ssl vpn 動作) 

按下圖中 2 號按鈕，設定哪些 SSL‐VPN 群組可以進行 SSL‐VPN。   

最後按下下圖中的確定鈕，就完成 SSL‐VPN 行為的放行   

二、無論是官方文件或是網路上的範例，都指出只要完成這條規則，就可以用   

https://wan2_IP:10443 連線準備登入，可惜的是前面已經說明學校的 wan2 是 Private  IP(10.200.xxx.xxx)，也就是說只能在市網管轄範圍內 A 校對 B 校進行

https://10.200.16.126:10443(如下面圖片) 

因為您在家中(市網以外)，絕對無法連線 10.200.xxx.xxx 這種 Private IP 的。 

三、為了要能 https://163.17.xxx.254:10443 來出現 SSL‐VPN 登入畫面，必須再增加 2 條規則，這 是因應學術網路目前架構必須的作法。 

四、允許 wan2(校外)的 all 對 wan1(校內真實 IP 網段)的 fg‐110c(163.17.xxx.254)  放行：port443 和 port10443 

原理：因為我要對 wan1 的位址 163.17.xxx.254 進行 https://163.17.xxx.254:10443 連線  當然要放行 port443 和 port10443 

五、允許 wan1(校內)的 fg‐110c 對 sslvpn 通道介面(ssl‐root)的 sslvpn_tunnel_address，放行 ssl‐vpn  行為。請注意：圖中 1 號目的位址名稱若設為 all 雖然也可以達到目的，但是若是設為 all，

將來在 Tunnel Mode 時若採用分離通道模式，會出現錯誤(因為無法判斷目的網段，就無法 調整 client 端路由設定)。 

其實圖中的「目的介面/域名」設為 port1~port8 或 wan1~wan2 任何一個介面，都可以。 

原理：這條規則才是真正的 SSL‐VPN，因為前面步驟四對 wan1 的 163.17.xxx.254 放行 port443 及 port10443，我們僅能從 wan2 以 https://163.17.xxx.254:10443 連線到 wan1，因此才需要 從 wan1 的 163.17.xxx.254 對任何一介面再做一次 SSL‐VPN 行為。 

六、當使用者建立 Tunnel 連線後，他的電腦會取得 192.168.200.xxx 的 IP 位址，同時被 FG‐110C  歸類到來自 ssl‐root 介面(sslvpn 通道介面)。為了讓他可以和 wan1(校內真實 IP)網段連線， 

請新增規則： 

允許 ssl‐root 的 all 到 wan1 的 all 全部放行。(當然您也可以嚴格控管) 

此規則要不要啟用 NAT 都可以，如果不啟用，請記得在學務系統中將 192.168.200.0/24 這段 IP 也設定到校內 IP，如此便可不需登入也可正常瀏覽校內文件。 

七、為了讓他可以和連上 Internet，請新增規則： 

允許 ssl‐root 的 all 到 wan2 的 all 全部放行。(當然您也可以嚴格控管) 

記得一定要啟用 NAT(否則你 ssl‐root 介面的 192.168.200.xxx 要如何上 Internet)。   

而且由於學術網路架構目前 wan2 是 10.200.xxx.xxx，所以一定要使用動態 IP Pool(請事先建  立，請看下圖) 

操作方法：防火牆物件虛擬 IPIP Pool建立新的 

圖中的 IP 範圍/子網，若流量大，可以多給幾個 IP，並記得網路中心登錄這些 IP 是 NAT 用。 

以避免流量過大被鎖住。 

壹拾壹、 連線示範 

一、https://163.17.xxx.254:10443，請點選「繼續瀏覽此網站」 

二、輸入帳號密碼   

三、登入成功，但此時並未進入 Tunnel Mode，需要使用者自己按「連線」鈕，才真正進入校內。

(第一次登入，需安裝 FortiClient SSLVPN，詳細操作說明，請參閱附錄)   

理論驗證： 

沒有按「連線」鈕之前，可從 SSL‐VPN 監視頁面看到該使用者從 114.46.142.200 登入 

按「連線」鈕之後：   

可從 SSL‐VPN 監視頁面看到該使用者從 114.46.142.200 登入，且取得 tunnel address 為  192.168.200.201 

Clinet 電腦沒有按「連線」鈕之前：   

IP 位址：只有 192.168.0.18 

預設路由是往 192.168.0.1 傳送封包(我家的路由器)   

Clinet 電腦按「連線」鈕之後：   

IP 位址：除了 192.168.0.18，新增了 192.168.200.201 

因為沒有採用分離通道模式，所以預設路由改成直接連通的介面 192.168.200.101 傳送封包  (雖然有兩個預設路由但依據 TCP/IP 規則，計量小的為優先)，因此所有流量改成由所建立的 tunnel 傳送到 FG‐110C 的 ssl‐root 介面。 

四、開啟新的瀏覽器視窗，連線 ipv6.tc.edu.tw，證明你現在是經由 192.168.200.101 透過 NAT 成 163.17.235.29 連線到 Internet。同理你當然可以連到 kms.tc.edu.tw 及電子公文線上簽核網站，

它們都會認為你來自 163.17.235.29，所以予以放行。 

五、校內有 O:磁碟連線到\\server\行政文件資料庫，P：磁碟連線到\\server\資源分享區，我現在  也可以在家中建立網路磁碟機了嗎？ 

當然可以，因為你已經在「校內」了嘛！(ssl‐root 介面,192.168.200.101) 

就跟在校內使用一樣，相信不會再有老師會喜歡先 FTP 下載，修改完後，再 FTP 上傳了!  

六、使用書籤透過 proxy 方式連線學務系統或網芳，不管有無建立 Tunnel 連線，都和之前相同， 

在此就不再重複說明，不清楚的可以參閱另一篇 Web‐only Mode 設定說明。其實如果建立 tunnel 連線後，書籤就沒有什麼意義了！所以如果是 FG‐400 機型，一旦建立 tunnel 連線後，

它自動把書籤關閉掉。 

壹拾貳、 探討 

一、如果學務系統在 port8 的 Private IP，這時要如何連線？ 

答：請記得一個最重要的觀念，建立 tunnel 連線後，Client 電腦會得到一個 192.168.200.xxx 的位址，通時它被歸類到來自 ssl.root 這個介面。 

因此只要新增一條防火牆規則： 

允許 ssl‐root 的 all 對 port8 的 all 全部放行。(當然您也可以嚴格控管)。 

此規則要不要啟用 NAT 都可以，如果不啟用，請記得在學務系統中將 192.168.200.0/24 這段 IP 也設定到校內 IP，如此便可不需登入也可正常瀏覽校內文件。 

二、如果貴校決定僅採用 Tunnel Mode 方式，建議在設計入口頁面時，只留下「Tunnel Mode」 

Widget，那 FG‐110C 會自動在使用者驗證完帳密後，立即自動幫他建立 tunnel 連線。不需要 使用者再按一次「連線」鈕。 

三、分離通道模式的意義和目的： 

如果使用者只是想連入校內使用學務系統及網路磁碟機，同時又保留到其他網路是繼續走 HiNet 等 ISP 業者的線路出去，這時就要在入口頁面的 Tunnel Mode Widget 勾選使用「分離 通道模式」。 

驗證理論： 

Clinet 電腦沒有按 Tunnel Mode「連線」鈕之前： 

IP 位址：只有 192.168.0.18 

預設路由是往 192.168.0.1 傳送封包(我家的路由器)   

Clinet 電腦按 Tunnel Mode「連線」鈕之後：   

IP 位址：除了 192.168.0.18，新增了 192.168.200.201  但是並沒有給這個 IP 網段有預設閘道。 

因為採用分離通道模式，所以預設路由還是往 192.168.0.1 傳送封包(我家的路由器)，但是多  了一筆靜態路由。 

163.17.235.0/255.255.255.0  透過 192.168.200.101 的介面往 192.168.200.102 傳送 

也就是只有要到 163.17.235.0/24 的封包，會經由 tunnel 往 FG‐110C 的 ssl‐root 介面送，其他 還是走 192.168.0.1(我家路由器，中華電信線路)。 

四、如果採用分離通道模式，但學務系統安裝在 port8(192.168.8.0/24)，要如何讓 Client 端電腦  新增一筆靜態路由，告知要到 192.168.8.0/24 網段也要往 FG‐110C 的 ssl‐root 介面傳送？ 

答：新增一條防火牆規則，允許 wan1(校內)的 fg‐110c 對 port8 的 192.168.8，放行 ssl‐vpn 行 為(圖中的 192.168.8 是防火牆位址物件，指的是 192.168.8.0/255.255.255.0) 

從下圖可看到又新增了一筆靜態路由： 

192.168.8.0/255.255.255.0  透過 192.168.200.101 的介面往 192.168.200.102 傳送 

因此我們便可直接 http://192.168.8.1 連線在 port8 介面下的這台 Switch。   

結語：採用 Tunnel Mode 方式且不使用分離通道模式，可以保證將使用者的所有流量導向 FG‐110C 進入校內再出去 Internet，完全可以符合未來電子公文線上簽核要鎖校內 IP 及連線

kms.tc.edu.tw 的驗證需求，所以是目前各校最佳選擇。但是請記得教導老師，一旦建立 tunnel 連線，就是走 TANet 學術網路，因此很多網站是會被鎖住的，記得不需要時，立即登出 SSL‐VPN，

走回 HiNet 等商業網路，才會快速！ 

2013‐1‐12   

附錄一：第一次登入要安裝 FortiClient SSLVPN 操作說明  1. 請點選「Click here to download and install it.」 

2. 出現 SslvpnClient.exe 下載提醒，請點選「執行」   

3. 如果是 Vista 或 Windows 7，請先點選「Run as administrator」(以系統管理員身份執行)  

4. 點選「是」   

5. 點選「Install」，開始安裝   

  6. 看到最後一行出現「Done!」，表示安裝完畢，點選「Close」 

7. 將畫面重新整理後，會出現要安裝「FortiClient SSLVPN Control」Active‐X 元件   請按「允許」 

8. 安裝完畢，以後只要登入，點選「連線」即可！   

附錄二：FG‐110C 的 SSLVPN 登入畫面，在 IE6 無法正常使用解決辦法 

1. 手動安裝 FortiClient SSLVPN 請執行「SslvpnClient.msi」或「SslvpnClient.exe」 

2. 執行 FortiClient SSLVPN   

3. 點選「Settings」   

4. 點選「New Connection」   

5. 參考下圖輸入必要資訊(163.17.221.254 後面不加埠號，代表使用預設 port10443)  

  6. 點選「OK」 

7. 點選「Connect」，就成功進入 Tunnel Mode 連線。 

8. 要中斷連線時，可以點選「Disconnect」或是直接關閉這個軟體也可以。