FortiGate SSL VPN Tunnel モード

2013/09/26 FortiOS V4.0 MR3での設定を作成しました。
良ければご参考にどうぞ！ただしWebAccessのみですが・・・
http://stdman.blogspot.jp/2013/09/fortigate-ssl-vpnwebaccess.html


FortiOS V3.0 MR7によるSSLVPNをトンネルモードで動作させる基本的な設定です。
FortiGate60B V3.0 MR7 build0726を使います。
設定はすべてWebから行うことができます。

●ネットワーク構成
INTERNAL アドレス　　：192.168.0.1
INTERNAL ネットワーク：192.168.0.0/24（LocalNetとしてアドレス定義）
WAN1　　　アドレス　　:10.1.111.32（仮想グローバルIPとしてスタティック設定）
SSLVPN　ネットワーク :192.168.99.0/24


●手順
・SSL VPNの有効化
・ユーザの作成
・ユーザグループの作成
・ファイアウォールポリシーの作成
・トンネルモードの設定

１．SSL VPNの有効化 メニュー：VPN>SSL
「SSL-VPNを有効にする」にチェックを入れて有効化する。
「トンネルIP範囲」トンネルモードで使われる仮想IPレンジです。
※トンネルモードを利用しない場合は、0.0.0.0-0.0.0.0でよい。




２．ユーザの作成 メニュー：ユーザ>ローカル
　ユーザ名とパスワードを設定する。これがログインするユーザとなります。



３．ユーザグループの作成 メニュー：ユーザ>ユーザーグループ
　２で作成したユーザをメンバーに加える。
　「SSL-VPNトンネルサービスを有効にする」にチェックを入れる。
　「ウェブアプリケーションを有効にする」にチェックを入れ必要なサービスを有効にする。



４．ファイアウォールポリシーの作成 メニュー：ファイアウォール>ポリシー
　WAN1->INTERNAL サービス:ANY　アクション:SSL-VPN　
　ユーザグループを許可する。



　作成したポリシーは最上位にすること。


この時点で、Webモードとして利用できます。
実際に確認してみましょう。https://10.1.111.32:10443/にアクセスします。
デフォルトでは10443ポートを利用しますが、システム>管理者>設定のSSLVPNログインポートで
任意に設定することができます。ただし443を指定することはできません。

※IEでアクセスすると読み込み中のまま止まってしまうことがあります。
その場合はリロードすればログイン画面が表示されます。
2008/09/01補足
アドレスは/remote/login まで指定したほうがいいみたいです。
（ここではhttps://10.1.111.32:10443/remote/login のように指定する）


ログイン直後画面


接続テスト(PING)を実行してみよう。
下のツール内にある「接続テスト(PING)」に接続先のIPを入力して「GO」を押します。
以下のメッセージが表示されれば通信は問題ないと思われます。



トンネルモードを設定してみる
接続先をプロキシとしてゲートウェイにする。

５．SSLVPNネットワークからINTERNALネットワークへ通信できるようにポリシー設定する
　　SSLVPNネットワークからWAN1へ通信できるようにポリシー設定する

　SSLVPNのアドレスをSSLVPN_Usersとしてアドレス定義する　ファイアウォール>アドレス
　※インターフェイスにssl.rootを選択



　SSLVPNからINTERNALを許可



　SSLVPNからWAN1を許可（NATにチェック）　これがゲートウェイとして機能します。



　ポリシー一覧



　プロキシ設定 ルータ>スタティックルート
　SSLユーザーのIPレンジを設定します。



　
これで環境は整いましたので再ログインして左上にある「SSL-VPNトンネルモードを有効にする」を押してください。以下のように接続状態が表示されます。
またゲートウェイアドレスが接続先になっているか、ddo.jpなどにアクセスして確認してみてください。



接続終了
「Disconnect」を押す。（トンネルモードのみ解除されます）
※ネットワーク接続に「fortissl」というダイヤルアップが作成されますので
接続終了後不要な方は「Disconnect」を押した後に「Uninstall」を押してダイヤルアップを削除してください。
を押してログアウトします。

FortiOS V3.00 MR7 (build0726)

2008/7/18 FortiOS V3.00 MR7がリリースされました。

早速、support.fortinet.comからダウンロード（FortiGate200用のFGT_200-v300-build0726-FORTINET.out）しアップデートして状態を確認してみた。
※アップデート前はV3.00 MR6 build0660

メモリ使用率は40％台で安定している。また以前V3.00 MR6 build0660でのHTTPS接続に問題があったが
今回は大丈夫なようですね、IPsec VPNも問題ない。

「FortiOS v3.0 MR7 SSL VPN User Guide」
http://docs.forticare.com/fgt/techdocs/FortiGate_SSL_VPN_User_Guide_01-30007-0348-20080718.pdf

SSLVPN用のFortiClientなんてものもあるんですね。






さらにSSLVPN VirtualDesktopというものまで。






SSLVPNを構築したら試してみたいと思います。


ボソボソ:社内のActiveDirectory再構築！
１台のNT4.0で構築されていたものを前任者がWindowsServer2000にアップしてさらにWindowsServer2003へアップしていたがどうやらシステム上致命的な問題があり複製も作れない状態！最悪。
どうせなので新たにActiveDirectoryを新規構築してクライアント（約100台）をすべて移行した。
　

メールの文字化け

たまにメールが$B$3$l$O(JJIS$B$NJ8$G$9!#(J のように化けることがあります。

原因は色々考えられますが・・・
そんなとき以下のサイトを利用してみてください。
http://masaka.dw.land.to/mr/jmr.php

文字化け部分を貼り付けるだけで解読してくれます。
ツールの作者masakaさんに感謝です。