Tämä ohje on sinulle, jos käytät Oulun yliopiston ICT-palveluiden ylläpitämää Windows-, Linux- tai Mac-päätelaitetta, jossa on käytössä keskitetysti hallittu FortiClient. FortiClient tarjoaa laitteellesi suojatun verkkoyhteyden.
Jos olet opiskelija tai asennat FortiClientiä henkilökohtaiselle koneelle, ZTNA-palvelu ei ole käytössäsi. Seuraa siinä tapauksessa tätä ohjetta.
Jos olet käyttänyt FortiClient‑VPN‑yhteyttä päästäksesi Oulun yliopiston tai Oamkin palveluihin työmatkalla, kotoa tai muualta kampusverkon ulkopuolelta, käytössäsi pitää olla uusi hallintapalvelin ennen 20.4.2026. Tämän pitäisi jo olla päivittynyt koneellesi automaattisesti keskitetyn hallinnan kautta, mutta jos se ei ole jostain syystä onnistunut, voit itse ottaa uuden hallintapalvelimen käyttöön ohjeen mukaan.
Uuden hallintapalvelimen (Endpoint Management Server, EMS) käyttöönoton myötä VPN:n rinnalle on tullut saataville vielä turvallisempi ja helppokäyttöisempi vaihtoehto, ZTNA (Zero Trust Network Access). VPN on tarvittaessa edelleen käytettävissä, mutta ZTNA korvaa sen monissa tapauksissa, eli VPN-yhteyttä kannattaa käyttää lähinnä silloin, kun jokin palvelu ei vielä ole ZTNA:n piirissä.
Sisällysluettelo
- Varmista, että käytät keskitetysti hallittua FortiClientiä
- Ota käyttöön uusi hallintapalvelin (EMS)
- Näin käytät ZTNA-palveluita
- Näin avaat VPN-yhteyden FortiClientillä
- Näin toimit ongelmatilanteissa
- Tietoa FortiClientin automaattipäivityksistä
FortiClientin käyttöliittymä on englanninkielinen, joten ohjeessa käytetään samoja englanninkielisiä termejä.
Tarkista, että käytät keskitetysti hallittua FortiClientia:
Käynnistä FortiClient-ohjelma. Jos näet palvelun välilehtivalinnoissa ”Zero Trust Telemetry” -kohdan, avaa se. Välilehdet löytyvät vasemmasta reunasta, ja “Zero Trust Telemetry” -valinta on siinä heti käyttäjäprofiilin alla. Jos päätelaitteesi on keskitetyssä hallinnassa, näkymässä lukee “Centrally Managed by EMS”.
Kuva 1: FortiClient-näkymä, jonka mukaan päätelaiteyhteys on keskitetyssä hallinnassa.
Mikäli status on ”Connected”, voit tarkistaa oletko yhdistettynä uuteen palvelimeen klikkaamalla Disconnect –painikkeen oikealla puolella olevaa ”hampurilaista”. Jos FortiClient EMS IP on fe01.oulu.fi, olet yhdistettynä uuteen palvelimeen, eikä sinun tarvitse seurata hallintapalvelimen vaihtamiseen/käyttöönottoon liittyvää ohjeistusta.
Kaikissa tämän ohjeen esimerkkikuvissa on kyseessä FortiClientin versio 7.4.5. Käytössäsi voi olla joku vanhempi versio, esimerkiksi 7.2.7 tai 7.2.10. Saat version 7.4.5 tarvittaessa asennettua Company Portalista.
Hallintapalvelimen vaihtaminen/käyttöönotto
Tämä ohje koskee Oulun yliopiston tai Oamkin tarjoamaa ja hallinnassa olevaa Windows-, Linux- tai Mac-työasemaa, johon kirjaudut tunnusmuodolla tunnus@univ.yo.oulu.fi tai tunnus@oamk.fi. Uusi FortiClient pitäisi jo olla käytössäsi keskitetyn hallinnan kautta, mutta jos näin ei jostain syystä ole, voit itsekin ottaa hallintapalvelimen käyttöön tällä ohjeella:
- Avaa FortiClient-ohjelma
- Zero Trust Telemetry -välilehdellä totea tilanne
- Status voi olla Connected, jolloin hallintayhteys toimii, tai Unreachable, jolloin tietokoneella ei ole verkkoyhteyttä. Jos laite on irti keskitetystä hallinnasta, silloin sinulle ehdotetaan rekisteröintiä:
Kuva 2: Päätelaite ei ole kytkettynä keskitettyyn hallintaan.
- Status voi olla Connected, jolloin hallintayhteys toimii, tai Unreachable, jolloin tietokoneella ei ole verkkoyhteyttä. Jos laite on irti keskitetystä hallinnasta, silloin sinulle ehdotetaan rekisteröintiä:
- Jos status on ”Unreachable”, tarkasta verkkoyhteys. Kun verkkoyhteys toimii, jatka tästä:
- Kun status on ”Connected”, paina Disconnect-nappia ja esiin tulee edellisessä kohdassa kuvattu rekisteröintinäkymä, joka pyytää sinua syöttämään kutsukoodin. Kutsukoodi riippuu käyttöjärjestelmästä.
- FortiClientin kutsukoodit uuteen hallintapalveluun.
Kutsukoodit toimivat vain Oulun yliopiston ja Oamkin käyttäjätunnuksille. Kopioi tarvitsemasi käyttöjärjestelmän nimen alla oleva teksti ja liitä se oikeaan kenttään liittäessäsi konettasi FortiClientin keskitettyyn hallintaan:- Windows: _VjE6ZmUwMS5vdWx1LmZpOjgwMTM6ZGVmYXVsdDowODczMGQxZi1iZGM0LTQ0NDYtYTY0NS1kY2JmZDQwMTE2NmE=
- Linux: _VjE6ZmUwMS5vdWx1LmZpOjgwMTM6ZGVmYXVsdDpjNWNhMDAyNC1hNjcxLTRiNmEtYWU5ZC05NWZkMWU3NGZhOWQ=
- MacOS: _VjE6ZmUwMS5vdWx1LmZpOjgwMTM6ZGVmYXVsdDo5OWZkOTA1Ny1hYzRjLTRjMGEtYTM1YS1hNDdlZDU4NjBjZTg=
- Kun olet liittänyt koodin FortiClientissä olevaan kenttään, paina Connect.
- Tämän jälkeen sinun pitää vahvistaa kirjautuminen. FortiClient avaa yhteyden keskitettyyn hallintaan. Koska olet jo kirjautunut koneellesi, kirjautumisilmoitus tulee näkyviin (hieman hämäävästi) selaimessa. Selaimen ponnahdusikkunassa lukee “This site is trying to open FortiClient Security Controls” ja siinä kerrotaan, että oulu.fi-osoite portissa 10443 haluaa avata tämän yhteyden.
Kuva 3: FortiClient Security -konsolin avaamisen varmistava ponnahdusikkuna.
- Klikkaa ”Open” (tai vaihtoehtoisesti selaimessa näkyvää Click here to complete the connection -linkkiä), jolloin FortiClient vahvistaa, että yhteys keskitettyyn hallintaan on onnistuneesti luotu.
- Onnistuneen hallintayhteyden luomisen jälkeen FortiClientin näkymä muuttuu hieman, kun siihen tulee tarjolle kaksi uutta valintaa, ZTNA Destinations ja Vulnerability Scan.
ZTNA-palvelun käyttö
Toisin kuin VPN:ssä, sinun ei tarvitse avata erillistä yhteyttä ZTNA:tä varten. Käytät palveluita mistä tahansa, ihan kuin olisit kampusverkossa.
Voit tarkistaa ZTNA:n kautta tarjotut palvelut FortiClientin ”ZTNA Destination” -välilehdeltä.
Listassa näet palveluiden osoitteet porttinumeroineen. Esimerkiksi ovi.certia.fi:443 tarkoittaa, että selaimella avattava yhteys ”https://ovi.certia.fi” sivustolle ohjataan proxyn kautta ja samalla tehdään pääsyoikeuden tarkastus. Lista voi olla pitkä ja se on käyttäjille lähinnä tiedoksi.
Voit ehdottaa uusia ZTNA:n kautta tarjottavia kohteita sähköpostitse osoitteeseen ict@oulu.fi
VPN-palvelun käyttö
Pääset VPN-palveluun ”Remote Access” -välilehden kautta. 7.4-versioissa se näyttää tältä
Yliopiston käyttäjille on UniOulu VPN (for staff members) ja ammattikorkeakoulun käyttäjille Oamk VPN (for staff members).
Klikkaa ”Connect”-nappia UniOulu VPN / Oamk VPN-kohdassa. Selaimesi välilehdelle tulee ilmoitus yhteyden onnistumisesta tähän tapaan:
Yleisimmät ongelmatilanteet
Ennen tarkempaa vianselvitystä varmista, että käyttäessäsi VPN:ää ZTNA on pois käytöstä. Vastaavasti ZTNA:n palveluita käytettäessä ei voi avata VPN:ää. Suurin osa ongelmista on kokemuksen mukaan johtunut palveluiden samanaikaisesta käytöstä.
Jos sinulla on ongelmia ZTNA-palveluiden käytössä selaimella, kannattaa kokeilla palvelua jollain toisella selaimella. Esimerkiksi Chromen ja Edgen on todettu jossain tapauksessa toimivan huonosti, kun etäverkon yhteydessä on käytössä Huawein 4G-reititin.
VPN-yhteys ei muodostu
- Tarkasta, että kone on kytkeytynyt verkkoon ja FortiClient ”Zero Trust Telemetry” -välilehdeltä, että hallintayhteys on ”Connected”-tilassa
- Varmista, että pääset sivulle https://myip.fi (huomioi sivulla näkyvä oma IP-osoitteesi)
- Yritä uudestaan, koska on mahdollista, että verkkoyhteydessä VPN-palvelimeen on ollut tilapäinen häiriö.
- Koneen uudelleenkäynnistys on aina hyvä idea.
- Voit myös FortiClientin ”Settings” -välilehdeltä käydä painamassa Clear Cookies -painiketta, ja tämän jälkeen käynnistää koneen uudelleen.
VPN-yhteys muodostuu, mutta et pääse haluamaasi palveluun esim. aikakatkaisun tai FortiClientin ZTNA:han viittaavan virheilmoituksen takia
- ZTNA saattaa olla päällä, joten kytke se pois käytöstä:
- FortiClientin ZTNA Destination -välilehdellä: paina Disable ZTNA.
VPN-yhteys ei ole käytössä ja yrität käyttää ZTNA:n tarjoamaa palvelua, mutta se ei toimi
- Jos jotain ZTNA:n kautta tarjottua palvelua käytettäessä saat tämän tapaisen ilmoituksen:
- Klikkaa ilmoitusta ja näyttöön tulee tarkempaa, mutta yleensä valitettavan teknistä tietoa ongelmasta:
Esimerkissä on kyse siitä, että välityspalvelin estää kohdepalvelun käytön käyttäjätunnukseltasi puuttuvan käyttöoikeuden takia.
Hyödyllisiä toimenpiteitä ennen avun pyytämistä ICT-palveluilta
Tässä muutama asia, jotka kannattaa tarkastaa ja kirjata mahdollisesti myöhemmin tehtävään avunpyyntöön ICT-palveluilta.
FortiClientin päätelaitteen status
Paina FortiClientin ”naamakuvaa” vasemmalla ylhäällä ja näyttöön avautuu käyttäjätietosi. Hyödyllisiä tietoja ovat ainakin:
- ”Status: Online/On-fabric”, jossa tilatieto on joko ”Online” tai ”Offline”. Se kertoo, onko päätelaitteellasi toimiva verkkoyhteys vai ei.
- ”On-fabric” puolestaan kertoo, että FortiClientin mukaan koneesi on kytketty kampuksen verkkoon. ”Off-fabric” vastaavasti, että olet jossain kampusverkon ulkopuolella, eli esim Eduroam-vierasverkossa tai Panoulussa. Kampuksen verkossa oltaessa (On-fabric) saattaa ”ZTNA Destination” lista olla paljon lyhyempi ja VPN-yhteysmahdollisuus puuttua kokonaan, koska kampusverkon sisällä pääsyt moniin palveluihin on vapaampaa eikä esim. VPN:ää tarvitse käyttää.
- Pääsyvaltuuksien kannalta ”Zero Trust Tags” on olennaista tietoa ja ne määräytyvät mm. käyttäjätunnuksesi ryhmäjäsenyyksien tai koneesi teknisten ominaisuuksien perusteella.
ZTNA:n status ja tarjolla olevat palvelut
- ZTNA Destination -välilehdeltä kannattaa tarkastaa, että Enable/Disable vipu on halutussa asennossa.
FortiClientin versiotiedot
- Voit tarkistaa FortiClientin version ”About” välilehdeltä
FortiClientin päivitykset
Työasemasi FortiClient -ohjelma hallitaan keskitetysti ja versiopäivityksetkin hoidetaan keskitetysti. Koneellesi tulossa olevasta päivityksestä ilmoitetaan tähän tapaan:
Voit hyväksyä päivityksen tapahtumaan heti, tai voit valita paremmin sopivan ajan. Varsinaiseen päivitykseen ei mene paljon aikaa, mutta päivityksen aikana tai sen jälkeen kone käynnistyy uudelleen vähintään kerran.
Päivityksen ollessa käynnissä näet alla olevan kuvan kaltaisen ilmoituksen, jossa sinua pyydetään huomioimaan pian koittava uudelleenkäynnistys.
