2008年7月31日木曜日

FortiGate SSL VPN Tunnel モード

2013/09/26 FortiOS V4.0 MR3での設定を作成しました。
良ければご参考にどうぞ!ただしWebAccessのみですが・・・
http://stdman.blogspot.jp/2013/09/fortigate-ssl-vpnwebaccess.html


FortiOS V3.0 MR7によるSSLVPNをトンネルモードで動作させる基本的な設定です。
FortiGate60B V3.0 MR7 build0726を使います。
設定はすべてWebから行うことができます。

●ネットワーク構成
INTERNAL アドレス  :192.168.0.1
INTERNAL ネットワーク:192.168.0.0/24(LocalNetとしてアドレス定義)
WAN1   アドレス  :10.1.111.32(仮想グローバルIPとしてスタティック設定)
SSLVPN ネットワーク :192.168.99.0/24


●手順
・SSL VPNの有効化
・ユーザの作成
・ユーザグループの作成
・ファイアウォールポリシーの作成
・トンネルモードの設定

1.SSL VPNの有効化 メニュー:VPN>SSL
「SSL-VPNを有効にする」にチェックを入れて有効化する。
「トンネルIP範囲」トンネルモードで使われる仮想IPレンジです。
※トンネルモードを利用しない場合は、0.0.0.0-0.0.0.0でよい。




2.ユーザの作成 メニュー:ユーザ>ローカル
 ユーザ名とパスワードを設定する。これがログインするユーザとなります。



3.ユーザグループの作成 メニュー:ユーザ>ユーザーグループ
 2で作成したユーザをメンバーに加える。
 「SSL-VPNトンネルサービスを有効にする」にチェックを入れる。
 「ウェブアプリケーションを有効にする」にチェックを入れ必要なサービスを有効にする。



4.ファイアウォールポリシーの作成 メニュー:ファイアウォール>ポリシー
 WAN1->INTERNAL サービス:ANY アクション:SSL-VPN 
 ユーザグループを許可する。



 作成したポリシーは最上位にすること。


この時点で、Webモードとして利用できます。
実際に確認してみましょう。https://10.1.111.32:10443/にアクセスします。
デフォルトでは10443ポートを利用しますが、システム>管理者>設定のSSLVPNログインポートで
任意に設定することができます。ただし443を指定することはできません。

※IEでアクセスすると読み込み中のまま止まってしまうことがあります。
その場合はリロードすればログイン画面が表示されます。
2008/09/01補足
アドレスは/remote/login まで指定したほうがいいみたいです。
(ここではhttps://10.1.111.32:10443/remote/login のように指定する)



ログイン直後画面


接続テスト(PING)を実行してみよう。
下のツール内にある「接続テスト(PING)」に接続先のIPを入力して「GO」を押します。
以下のメッセージが表示されれば通信は問題ないと思われます。



トンネルモードを設定してみる
接続先をプロキシとしてゲートウェイにする。

5.SSLVPNネットワークからINTERNALネットワークへ通信できるようにポリシー設定する
  SSLVPNネットワークからWAN1へ通信できるようにポリシー設定する

 SSLVPNのアドレスをSSLVPN_Usersとしてアドレス定義する ファイアウォール>アドレス
 ※インターフェイスにssl.rootを選択



 SSLVPNからINTERNALを許可



 SSLVPNからWAN1を許可(NATにチェック) これがゲートウェイとして機能します。



 ポリシー一覧



 プロキシ設定 ルータ>スタティックルート
 SSLユーザーのIPレンジを設定します。



 
これで環境は整いましたので再ログインして左上にある「SSL-VPNトンネルモードを有効にする」を押してください。以下のように接続状態が表示されます。
またゲートウェイアドレスが接続先になっているか、ddo.jpなどにアクセスして確認してみてください。



接続終了
「Disconnect」を押す。(トンネルモードのみ解除されます)
※ネットワーク接続に「fortissl」というダイヤルアップが作成されますので
接続終了後不要な方は「Disconnect」を押した後に「Uninstall」を押してダイヤルアップを削除してください。
を押してログアウトします。

0 件のコメント:

Google検索