跳至主要內容

FortiClient 或终端配置

2026/4/27设计考虑事项7.6.0大约 2 分钟

FortiClient 或终端配置

SSL VPN Tunnel 模式需要终端安装 FortiClient。IPSec 隧道同样需要 FortiClient。

FortiClient 可以单独安装在终端上,也可以通过 FortiClient EMS 管理。建议使用 FortiClient EMS,因为它可以集中管理客户端配置,并支持更大规模部署。

基本 FortiClient SSL VPN 配置包括:

配置项说明
Connection name用于标识隧道的本地名称
Remote GatewayFortiGate SSL VPN 接口地址
PortFortiGate 监听端口,默认 TCP/443,可改为其他端口
Authentication支持每次手工输入用户名密码,或保存登录信息
Single Sign-On启用后,可使用内置浏览器或外部浏览器进行 SAML 认证
Client CertificateSSL VPN Server 要求客户端证书时,FortiClient 必须提供证书

基本 FortiClient IPSec VPN 配置包括:

配置项说明
Connection name用于标识隧道的本地名称
Remote GatewayFortiGate IPSec VPN 网关地址
Authentication Method预共享密钥或 X.509 客户端证书
Authentication(XAuth or EAP)支持每次手工输入用户名密码,或保存登录信息
Failover SSL VPN仅 SSL VPN 冗余场景相关,否则设置为 None
Single Sign On启用 SAML 认证,FortiClient 7.2.4 及以上支持
Advanced SettingsIKE 版本、IKEv1 Main/Aggressive、地址模式、Phase 1、Phase 2 等

高级设置包含以下关键项:

区域参数
VPN SettingsIKE version、Main/Aggressive mode(IKEv1)、Encapsulation and IKE TCP port(IKEv2)、Addressing mode、Phase 1 options、Phase 2 options
Phase 1IKE Proposal、DH Group、Key Life、Local ID、Dead Peer Detection、NAT Traversal、Local LAN
Phase 2IPSec Proposal、Key Life、Replay Detection、Perfect Forward Secrecy(PFS)、DH Group

这些设置必须与 FortiGate 上的 VPN 设置匹配。例如,当 FortiGate 上配置多个拨号隧道并启用 Peer ID 时,客户端必须配置匹配的 Local ID。FortiClient 中 Local ID 位于 Phase 1 options。

如果可行,VPN 设置应通过 FortiClient EMS 集中配置和推送。从 FortiClient EMS 创建新的 Remote Access Profile,让 IPSec 隧道参数与 FortiGate 隧道设置一致。

最近更新: