2013年9月26日木曜日

FortiGate SSL VPN WebAccessモード

前提条件:ForiGateをNATモード(ルータ)で稼働させている必要があります。

トンネルモードを使わない簡単な構築です。

接続元のクライアントPCではJavaRumtimeが必要になるので予めインストールしておきましょう。

使用した機器:FortiGate110C
ファームウェアバージョン:FortiOS v4.0 MR3 Patch15
LAN:10.1.0.0/255.255.0.0

操作はすべてWeb管理画面から行いますが、ユーザ、VPN、FWポリシーが操作できるユーザでログインします。基本的にはsuper_adminがいいでしょう。

[ファイアウォールオブジェクト>アドレス>アドレス]でLAN側のネットワークを予め定義しておく
※ご自分の環境に合わせてください。

ローカルユーザの作成 [ユーザ>ユーザ>ローカル]

ユーザ名とパスワードを設定してログインユーザを作成します。

※私はユーザ名にメールアドレスを使用しています。
※認証はLDAP、RADIUSなどありますが事前に定義しておく必要があります。

ユーザグループの作成 [ユーザ>ユーザグループ>ユーザグループ]

名前:SSLVPNuser(適当でOK)
タイプ:ファイアウォール
SSL-VPNアクセスを許可をチェックONにして予め作成されているポータル[full-access]を選択します。このポータルは[VPN>SSL>ポータル]で自由に作成することができます。


ポリシーの作成 [ポリシー>ポリシー>ポリシー]

SSLVPNの接続を許可するポリシーを作成します。

新規作成

送信元インターフェース:wan1(External)
送信元アドレス:All
宛先インターフェース:switch(Internal)
宛先アドレス:LocalNetwork(LAN側のネットワーク)

アクション:SSL-VPN

SSL-VPNユーザを設定チェックONにして追加
ユーザーグループ:SSLVPNuser
サービス:ANY
スケジュール:always



作成されたポリシーは以下の通り
そのブロック内で一番上になるように移動します。



接続元からLAN側にアクセスできるポリシーを作成します。

新規作成

送信元インターフェース:sslvpnトンネルインターフェース(ssl.root)
送信元アドレス:All
宛先インターフェース:switch(Internal)
宛先アドレス:LocalNetwork(LAN側のネットワーク)
スケジュール:always
サービス:ANY
アクション:ACCEPT



作成されたポリシーは以下の通り



以上でFortiGateの設定は完了となりますので、外部からアクセスしてみます。

アドレスはhttps://グローバルIP:10443/
この証明書には問題がありますと表示されるが、このサイトの閲覧を実行するで進みます。


ログインに成功です。右上の「Connection Tool」から選択して接続します。
また接続設定はBookmarksに登録ができます。


接続先のアドレスはFQDNではダメなようです。
ホスト入力時にはhttp://などのようにプロトコル指定は不要です。

RDPネイティブはそのマシン内のリモートデスクトップが使われるようです。









0 件のコメント:

Google検索