FortiGate RADIUS VPN AD驗證

【使用】
FortiGate、Active Directory、FortiClient

FortiClient下載網址：https://www.forticlient.com/

【步驟】
1.先到AD上新增「網路原則與存取服務」，
到伺服器管理員，開啟後新增「網路原則與存取服務」的伺服器角色，然後按下一步完成。

2.開啟「網路原則伺服器」，並新增RADIUS 用戶端。

3. 設定完，回到Fortigate 上設定"RADIUS驗證"，驗證方法選擇「MS-CHAP-v2」

4.再來設定AD帳號裡的撥入 把「允許存取」打勾即可，

   FortiClient基本上就可以通了。

5.若想限制特定AD群組使用，就需要另外設定【網路原則】。

 6.建立一個原則名稱

 7.加入該群組

 7.這裡驗證方法 通防火牆設定的驗證 MS-CHAP-v2

 8.FortiGate的廠商代碼為【12356】
　屬性質的部分【要同群組名稱】

參考文章 https://blog.51cto.com/xushen/1007337

FortiGate NAT + Port Mapping 應用

【前言】

公司內部有兩條電路在使用，一路給監控使用，

因該線路使用效益較低，僅兩員用手機APP觀看，且頻率並不高，

為節省不必較的支出，停用使用較低的電路，

將監控設備通通移轉至防火牆內。

【調整前】

[調整後]

【使用】

FortiGate、DNS Server、網域DNS代管設定

【步驟 】

1.開一個DMZ Port，串一個Switch 給 監控用。

2. 調整監控主機IP和調整有在使用的Port。

10.168.32.81:81

10.168.32.82:82

10.168.32.83:83

10.168.32.84:84

10.168.32.85:85

有一些主機比較特別要開2個Port以上，或是用指令去查監控有再用的Port，

指令【netstat -n | find "0.0.0.0"】

3.設定防火牆 WAN 到 DMZ 的 Policy

  設定 Virtual IP


設定有在用的Port就好。 

這時候用外網連線應該是會通了。

但內網的使用者無法這樣連線，因為用NAT沒辦法使用Port maaping。
若要User內網使用內網IP連線，外網用外網IP連線，
這樣有點不方便，所以多做了以下設定整合。


4.利用一個LAN IP 設定 LAN 到 DMZ 的政策。

DMZ to WAN 不要忘

順便把 Virtual IP 也設定

5. DNS server 設定一組 公司名.com.tw 的網域，

如果有就設定一組A到 LAN IP 上。

6. 內網轉好了換外網，到DNS代管伺服器 去設定一組A到DMZ IP上。

這樣User 就可以使用 cctv.公司名com.tw去連線，

設定到APP上也不用分內網、外網這麼多台設定，

利用Port去對應到不同的監控主機即可。