Fortigate VPN 設定教學 (影片教學)|IPSec VPN 設定 + SSL VPN 補充說明

Fortigate VPN 設定教學 (影片教學)|IPSec VPN 設定 + SSL VPN 完整解析

Fortigate VPN 設定教學 (影片教學)

FortiGate VPN 是 FortiGate 作業系統(FortiOS)內建的安全通訊功能, 用於在公網環境中建立加密通道,確保企業內部與遠端使用者之間的資料安全傳輸。 不同 FortiOS 版本(6.x / 7.x)在 GUI 介面與部分選項名稱上可能略有差異,但核心 VPN 架構與設定邏輯一致。

📺 IPSec VPN 設定影片教學

▶ 影片教學(另開視窗)

FortiGate VPN 架構說明

FortiGate VPN 主要分為 IPSec VPN 與 SSL VPN。 IPSec VPN 運作於網路層(Layer 3),使用 IKE(Internet Key Exchange)進行金鑰交換, 適合 Site-to-Site 或固定網路間連線。

SSL VPN 則基於 TLS/HTTPS(TCP 443)建立安全通道, 適合遠端使用者透過 FortiClient 或 Web Portal 存取內部資源, 並支援 Tunnel Mode 與 Web Mode。

📌 企業 FortiGate VPN 架構與資安整合方案

如果您是企業環境部署 FortiGate VPN 或需要完整資安規劃(含防火牆策略、VPN 架構設計與異地連線), 可以參考我們的企業解決方案案例。

👉 新竹・竹北 FortiGate UTM 防火牆設定與資安部署

設定前準備

  • FortiGate 防火牆(FortiOS 6.x / 7.x)
  • 內部網段規劃(如 192.168.1.0/24)
  • VPN 使用者帳號或 AD / Entra ID 整合
  • FortiClient VPN

IPSec VPN 設定流程

1登入 FortiGate 管理介面
2建立 Phase 1 Interface(IKE 設定)
3建立 Phase 2 Selector(加密與網段)
4設定 Firewall Policy(VPN ↔ LAN)
5設定 Route(Static / Dynamic)
6測試 VPN Tunnel 狀態

🧠 指令驗證說明(FortiGate CLI)

VPN 建立完成後,建議使用 CLI 進行驗證,以確認 Phase1 / Phase2 是否正常建立。 不同 FortiOS 版本(6.x / 7.x)CLI 輸出可能略有差異,建議搭配 GUI 一起確認。


# 檢查 IPSec VPN Tunnel 狀態
diagnose vpn tunnel list

# VPN Summary(快速總覽)
get vpn ipsec tunnel summary

# IKE Gateway 狀態(Phase1)
diagnose vpn ike gateway list

# 清除 debug(避免殘留)
diagnose debug reset

# 顯示時間戳(排錯建議)
diagnose debug console timestamp enable

# IKE Debug(Phase1 協商)
diagnose debug application ike -1

# 啟用 debug
diagnose debug enable

# 停止 debug(務必執行)
diagnose debug disable

# (進階)IKE Log Filter(只看特定 VPN)
diagnose vpn ike log-filter clear
diagnose vpn ike log-filter name 

📌 工程重點: Phase1 必須為 established,Phase2 必須 match。 若 VPN 無法建立,優先檢查: 加密算法 / DH Group / PSK / NAT-T / Policy。

⚠️ 注意:debug 指令請僅於排錯時使用,完成後務必關閉 debug。

SSL VPN 設定補充

  • 基於 TLS/HTTPS(Port 443)
  • 支援 FortiClient 與 Web Portal
  • 適合遠端辦公與行動存取
  • 可搭配 MFA(多因素驗證)

SSL VPN 建議搭配 User Group 與 Policy Control, 以限制不同使用者存取不同內部資源。

FAQ 常見問題

IPSec VPN 與 SSL VPN 差在哪?

IPSec VPN 是基於 IP 層加密協定,SSL VPN 則基於 HTTPS(443),適用不同場景。

SSL VPN 無法連線怎麼辦?

通常是 User Group、Portal 或 Policy 設定錯誤。

VPN Tunnel 無法建立的原因?

常見為 Phase1/Phase2 mismatch 或加密不一致。

FortiOS 版本不同會影響設定嗎?

會影響 UI,但核心 VPN 架構一致。

Phase 1 與 Phase 2 差異?

Phase1 負責 IKE 協商,Phase2 負責資料加密。

SSL VPN 是否支援 MFA?

支援,可搭配 FortiToken 或外部 MFA。

VPN 無法上網怎麼辦?

檢查 Route 與 Firewall Policy。

企業 VPN 建議架構?

建議 IPSec + SSL VPN 混合使用。

    PAGE TOP