Linuxインターネットサーバ構築ガイド インターネットサーバ公開術/セキュリティなど
トンネルモードを使わない簡単な構築です。
接続元のクライアントPCではJavaRumtimeが必要になるので予めインストールしておきましょう。
使用した機器:FortiGate110C
ファームウェアバージョン:FortiOS v4.0 MR3 Patch15
LAN:10.1.0.0/255.255.0.0
操作はすべてWeb管理画面から行いますが、ユーザ、VPN、FWポリシーが操作できるユーザでログインします。基本的にはsuper_adminがいいでしょう。
[ファイアウォールオブジェクト>アドレス>アドレス]でLAN側のネットワークを予め定義しておく
※ご自分の環境に合わせてください。
ローカルユーザの作成 [ユーザ>ユーザ>ローカル]
ユーザ名とパスワードを設定してログインユーザを作成します。
※私はユーザ名にメールアドレスを使用しています。
※認証はLDAP、RADIUSなどありますが事前に定義しておく必要があります。
ユーザグループの作成 [ユーザ>ユーザグループ>ユーザグループ]
名前:SSLVPNuser(適当でOK)
タイプ:ファイアウォール
SSL-VPNアクセスを許可をチェックONにして予め作成されているポータル[full-access]を選択します。このポータルは[VPN>SSL>ポータル]で自由に作成することができます。
ポリシーの作成 [ポリシー>ポリシー>ポリシー]
SSLVPNの接続を許可するポリシーを作成します。
新規作成
送信元インターフェース:wan1(External)
送信元アドレス:All
宛先インターフェース:switch(Internal)
宛先アドレス:LocalNetwork(LAN側のネットワーク)
アクション:SSL-VPN
SSL-VPNユーザを設定チェックONにして追加
ユーザーグループ:SSLVPNuser
サービス:ANY
スケジュール:always
作成されたポリシーは以下の通り
そのブロック内で一番上になるように移動します。
接続元からLAN側にアクセスできるポリシーを作成します。
新規作成
送信元インターフェース:sslvpnトンネルインターフェース(ssl.root)
送信元アドレス:All
宛先インターフェース:switch(Internal)
宛先アドレス:LocalNetwork(LAN側のネットワーク)
スケジュール:always
サービス:ANY
アクション:ACCEPT
作成されたポリシーは以下の通り
以上でFortiGateの設定は完了となりますので、外部からアクセスしてみます。
アドレスはhttps://グローバルIP:10443/
この証明書には問題がありますと表示されるが、このサイトの閲覧を実行するで進みます。
ログインに成功です。右上の「Connection Tool」から選択して接続します。
また接続設定はBookmarksに登録ができます。
接続先のアドレスはFQDNではダメなようです。
ホスト入力時にはhttp://などのようにプロトコル指定は不要です。
RDPネイティブはそのマシン内のリモートデスクトップが使われるようです。
0 件のコメント:
コメントを投稿