本文示範在 Fortigate v6 防火牆設定建立 SSL VPN ( 點對點 VPN ),透過 SSL VPN 連線,能夠允許使用者自 Internet 外網連入使用內網的服務,也能夠藉由 Full Access 模式做為跳板,轉由防火牆的外網 IP 連線 Internet,存取限制國別的網站。
Fortigate v6 跟 v7 的設定方式是相同的。
通常有幾種情境會用到 SSL VPN 服務:
一是公司人員在公司外或海外出差,但是需要連線公司內部伺服器,如 ERP 或 File Server 檔案伺服器之類的取得公司網路資源;
二是人員在公司外或海外出差,需要存取某個綁定只能由公司外部固定 IP 才能存取的協力廠商網站;
三則是人在國外,想要存取一個目前所在地不提供的網路服務,例如目前 disney+ 尚未提供越南的服務,如果人在越南,想要連線 disney+ ,就可以透過 SSL VPN 連回台灣的防火牆來使用。
示範環境:
Fortigate 60F,韌體 v6.4.14
SSL VPN 連線模式設定,[VPN] > [SSL-VPN 入口設定] > [tunnel-access] > [編輯]。
勾選啟動通道模式。
勾選啟動切分通道,如果想要讓 SSL VPN 使用者透過防火牆連至 internet 可以不勾。
路由位址選擇想讓 SSL VPN 使用者連線的內網網段或 IP。
來源 IP 資源池,選擇想要配發給 SSL VPN 使用者的 IP 段,此部分不可與內網任何網段衝突。
[VPN] > [SSL-VPN 設定]。
連線設置:
監聽介面,選擇允許 SSL VPN 使用者連入的 WAN 介面。
監聽埠號,建議選擇 443 以外的埠,以確保安全。
認證/入口網頁 對應,確認是否已選擇剛剛在 [SSL-VPN 入口設定] 所設定的 tunnel-access。
建立群組,[用戶 & 認證] > [用戶群組] > [新增],建立一個 SSLVPN_User 群組。
建立 SSL VPN 使用者帳戶,[用戶 & 認證] > [用戶認證] > [+ 新增]。
用戶型式,選擇 [本地用戶]。
登入資格憑證,輸入使用者帳號密碼。
聯絡資訊,看是否要開啟雙因素認證,可以跳過。
其他資訊,啟用帳戶,並選擇對應用戶群組。
新增防火牆策略,[政策 & 物件] > [防火牆策略] > [+ 新增]。
進入介面選擇 SSL-VPN。
離開介面選擇允許連線的內網界面。
來源選擇建立的 SSLVPN_User 群組。
其餘部分依需要調整。
再新增一條防火牆策略,進入與離開介面與上一條相反過來。
至此完成 SSL VPN 設定,下面則在電腦中執行 FortiClient VPN 用戶端連線程式。
設定時注意更改為自定義端口,調整為防火牆所設定的 SSL VPN 監聽埠號。
接下來就可以嘗試進行連線了。
沒有留言:
張貼留言