跳到主要內容

Fortigate SSL VPN config


Fortigat SSL VPN 設定方式



  1. 啟用 SSL VPN連接,並在基本選項來設定SSL VPN配置

    1. 須執行以下程序才能完成設定SSL VPN的配置

      1. 啟用SSL VPN操作。

        • image

        • 我們必須啟用SSL VPN設定,讓Fortigate 可以接受SSL VPN的連線請求。

        • 在網頁介面去用SSL VPN的操作

        • 左邊選單 VPN > SSL > Config

        • 將Enable SSL-VPN 打勾

        • 按下 Apply

      2. 為tunnel-mode用戶端指定IP地址。

        • 當用戶端通過FortiGate設備驗證後,請求為tunnel-mode連接時,FortiGate的設備會從IP Pool為SSL VPN客戶端分配一個 IP地址。所以我們要在防火牆上面去設定一堆IP地址範圍作為"IP Pool”。

        • 有兩種方式可以設定IP POOL

          1. VPN > SSL > config 這裡可指定所有的 IP POOL的IP地址範圍,但是不能指定個別專屬的

          2. 另外就是在 web portal Tunnel-mode Widget裡面可以設定,而這裡的設定是會蓋過 VPN > SSL > config 的設定部分。

          • 注意:小心跟自己現有的IP位置重疊,不要分配現在正在使用的網路IP地址給用戶端,為了預防衝突,建議用罕用的私有網路地址(譬如 10.254.254.0/24)

          • (後補 文件P.24)

      3. 針對SSL VPN其他設置,可以做下列的修改或設定。

          1. 增加client的WINS或是DNS的服務

          2. 設定閒置連線時間

          3. 設定用戶端登入認證時間

          4. 指定SSL連線密碼加密方式

            • 加密方式決定數據安全的等級,但是必須視用戶端的瀏覽器版本而定。

          5. 啟用通過X.509認證之密碼登入方式

          6. 更換登入介面之預設port。SSL VPN預設port為10443。

          7. 登入介面之客製化。

  2. 建立web入口網站提供連線者進入的方式,如果要提供給不同的群組或使用者相異的功能進入方式,那就得建立不同的入口介面。
    網頁入口介面是定義SSL VPN 使用者可以使用哪些網路資源,譬如http/https,telnet,FTP,SMB/CIFS,VNC,RDP與SSH。透過不同的網頁入口,不同使用目的的使用者就可以透過他們專屬的介面登入Fortigate。Fortigate的管理者與SSL VPN 的用戶也可以自己調整網頁版面。
    首先,我們要先用基本功能設定調整好網頁入口,再來針對每個入口,而新增安全功能設定。

    1. 準備工作
      在設定網頁入口之前,我們必須知道有哪些不同使用方式的用戶,譬如,有些用戶只需要做遠端桌面連線到他們的PC,有些用戶只對檔案作存取,有些用戶可能兩著都要。所以我們必須按造之前提到的先建立SSL VPN的用戶群組織後根據這些群組來設定屬於他們的網頁入口。

    2. 這裡有三種已經準備好的預設網站入口設定
      image

      1. 完整功能:用戶可以使用所有的widgets ,包過Session的資訊,連線工具,書籤,以其通道模式。
        image

      2. 通道存取:包含Session 的資訊,跟通道目前狀況。
        image

      3. 網頁權限:包含Session資訊,以及書籤。
        image
        上面三種現成的可以直接使用,或是自己訂做不同的網頁入口

    3. 預設的網頁入口設定方式
      進入主題啦,我們如何來設定基本網頁入口
      1. 先到 VPN>SSL>Portal
        • 選擇 Create New
        • 進入 編輯對話框
          image
        • Name  :給新建的入口網頁一個名子
        • Applications:勾選哪些應用程式是給用戶使用的
        • Portal Message : 顯示在入口網頁頂端的文字
        • Theme:入口網頁主題顏色
        • Page Layout:單列或是雙列的欄位設計
        • Redirect  URL:當進入入口網頁後會跳出第二個視窗,可以跳出預先在這裡輸入的網址
      2. 自訂選項,可以選擇Virtual Desktop來設定該功能,此選項可之後再設定。
      3. 自訂選項 Security Control 設定暫存的清除,以及用戶端的檢查,此選項也可以日後設定。
      4. 選擇 OK,就可以看到入口網頁畫面。
      5. 選擇apply來儲存剛剛的設定。
    4. 入口網頁頁面設計
      image
    5. tunnel 模式相關設定
    6. Session 資訊設定
    7. 書籤設定
    8. 網路連線工具設定
  3. 建立遠端連線的專屬使用者帳號,並建立SSL VPN的用戶群,並針對不同的用戶群設定分別可使用的網站入口介面,並將使用者歸屬到適合他們身分的SSL VPN 用戶群。

  4. 根據所需要支持VPN運作模式所指定的參數來設定防火牆策略(Policies)

  5. 針對tunnel-mode功能,增加路由以確認用戶端的tunnel-mode封包可以到達SSL VPM接口。

  6. 可額外選擇設定SSL VPN事件記錄參數,並且監看SSL VPN活動的session

留言

這個網誌中的熱門文章

回菲攻略

疫情期間回菲攻略 自疫情開始後,各國家開始鎖國政策,努力防堵COVID-19擴散,不過好像也沒什麼用。身在菲律賓工作,雖然隨時可以回台灣,但是卻返不了菲。還有我大有為菲政府,在去年(2020)12月發布特赦,拿工作簽證(9G)的可以出境再入境,這我這個異鄉老遊子真的是佳音來者。不過菲官方反反覆覆以及政令不達基層的狀況,令人又喜悅又害怕,還好我有個人生大缺點,先做再說。一月初機票買了,就先回台過年。 疫情期間回台真是恐怖的花費,這一次夠平承時期一年多次來回N倍,但這不是本文重點。重點是這次我是如何順利回菲的。 菲律賓目前開放入境簽證五花八門,朝夕令改.沒有一個地方可以找到標準答案。不過還好菲人寵愛Facebook. 我這次能順利回菲,不是看台灣人社群,也不是找奇奇怪怪的仲介,完全就只專注菲律賓移民局(Bureau of Immigration.)FB官方粉絲團 https://www.facebook.com/officialbureauofimmigration 隨時注意公布動態,當然菲移民局官網也可以找到,但是沒有FB及時。 整個返菲流程分成 離境,入境前 跟入境時 三個階段,這三個階段搞定,就可以舒舒服服回菲關在防疫旅館等戳鼻孔了。 離境 隨時注意剛剛提到的 移民局FB官網 因為瞬息萬變,今天出境可以回來,明天可能就不一定了。長年待在菲律賓的同胞一定知道,拿9G離開菲律賓都要在機場繳納為數不小的贖金 2880披索 Emigration Clearance Certificate (ECC) -B ,繳完會有一張收據,以前這張收據拿到就當用過衛生紙扔掉,但現在千萬千萬要把它當作祖宗牌位捧好,照顧好,因為這是回菲的免死金牌。因為裡面有一個很重要的一行字叫做 RP/SRC FEE在疫情前,打死我都不會看這收據內容,但這次可是讀了又讀看了又看,才知道這個費用可是比廟裡上上籤還神奇。RP/SRC.全文叫做 Reentry Permit (RP) & Special Return Certificate (SRC) ,當初Inter-Agency Task Force 簡稱IATF(菲律賓疫情期間的太上皇機關,所有疫情政策他說了算)公布 9G返菲需要有SRC時,大家抓破頭不知道這是什麼,我還在台灣人社群或是某國人最愛看的謠言網站菲龍網,一堆人言之鑿鑿,什麼認識移民

開張啦

我要測試一 個新的 blog