Поиск по сайту

Полезные статьи

01.04.2020

Удаленный доступ через FortiGate с помощью SSL VPN

Настройка удаленного доступа

Сначала создадим два адресных объекта - в одном будет адрес сети, к которой должны иметь доступ пользователи, а в другом - диапазон адресов, которые будут присваиваться пользователям.

Рисунок 1. Адрес сети
Рисунок 1. Адрес сети


Рисунок 1. Адрес сети
Рисунок 2. Диапазон адресов


Далее создадим группу пользователей, которая сможет воспользоваться технологией SSL VPN. Для этого будем использовать пользователей, созданных в предыдущей статье.

Для того, чтобы создать группу пользователей, необходимо перейти в поле User & Devices -> User Groups -> Create New. Назовем её SSL-VPN. Добавим туда пользователей для проверки VPN соединения. При необходимости можно добавить пользователей с удаленных серверов, процесс также описан в предыдущей статье.

Рисунок 3. Группа пользователей
Рисунок 3. Группа пользователей

Теперь необходимо настроить SSL портал. Для этого переходим в меню VPN -> SSL-VPN Portal -> Create New.

Рисунок 4. Настройка SSL портала
Рисунок 4. Настройка SSL портала

Здесь задаем имя нашему порталу - Custom_Tunnel. Активируем Tunnel Mode. Также активируем Split Tunneling, чтобы пользователи выходили в Интернет через своего провайдера.

Если вы хотите, чтобы весь трафик удаленных пользователей проходил через FortiGate, эту опцию нужно отключить.
В поле Routing Address выбираем подсеть, в которую будут доступ у удаленных пользователей. Мы создали её на предыдущем шаге - Local_Network_SSL-VPN. В поле Source IP Pools выбираем ранее созданный IP Pool - SSL-VPN_Range. Напоминаю, IP адреса из этого пула будут присваиваться удаленным пользователям при подключении через VPN.

На выбор можете включить настройки для клиентов, мы же в данном примере ничего включать не будем. Аналогично с проверкой удаленных хостов и разграничению по версии ОС. На этом настройки режима Tunnel заканчиваются.

Настройка режима web (h2)

Перейдем к настройке режима web. Для этого необходимо перевести поле Enable Web Mode в активное состояние. Здесь можно также выбрать название портала (поле Portal Message), оформление, а также другие настройки. Наибольший интерес представляет поле User Bookmarks - эта опция позволяет пользователям создавать свои закладки. А в поле Predefined Bookmarks вы можете создавать закладки централизованно для всех пользователей.

Рисунок 5. Настройка режима web

Рисунок 5. Настройка режима web

Покажем на примере, как создать централизованную закладку, например для подключения к удаленному рабочему столу:


Рисунок 6. Создание централизованной закладки
Рисунок 6. Создание централизованной закладки


Здесь необходимо вписать имя, выбрать тип закладки, указать IP хоста и порт. Остальные настройки опциональные. Также необходимо выбрать метод обеспечения безопасности при подключении - в данном случае мы позволяем удаленному рабочему столу выбирать необходимый метод.

После создания закладки нажимаем “ОК”. На этом настройка web режима закончена.  Теперь перейдем к общим настройкам подключения.

Общие настройки

Здесь необходимо выбрать внешний интерфейс, на который будут приходить соединения от удаленных пользователей (в нашем случае port3) и порт, по которому пользователи будут подключаться.

В поле Restrict Access необходимо выбрать параметр Allow access from any hosts. При необходимости, можно указать конкретные хосты, с которых можно производить подключение.

Можно выбрать период бездействия, после которого пользователь будет принудительно отключаться от VPN’а, в нашем случае это 300 секунд. Также необходимо подгрузить SSL сертификат (в нашем случае используется встроенный).

Если в вашем хранилище сертификатов нет CA сертификата, который подписал текущий SSL сертификат - будет выдаваться предупреждение о том, что сертификат некорректен. Дальнейшая же работа при этом возможна. Также можно проверять сертификаты удаленных пользователей (опция Require Client Certificate).

Рисунок 7. Require Client Certificate
Рисунок 7. Require Client Certificate


Последняя конфигурация - Portal Mapping. Здесь мы должны указать, какая группа пользователей к какому порталу имеет доступ. В нашем случае группа SSL-VPN должна иметь доступ к порталу Custom_Tunnel.

Рисунок 8. Доступ к Custom_Tunnel
Рисунок 8. Доступ к Custom_Tunnel

После настройки Portal Mapping нажимаем Apply. Теперь перейдем к политике безопасности. 

Политика безопасности

Для того, чтобы пользователи успешно подключались к нашему VPN и имели необходимый доступ, нужно создать политику, разрешающую доступ из интерфейса ssl.root (он отвечает за ssl vpn) в интерфейс локальной сети (в нашем случае это port2). В поле Source необходимо выбрать адресный объект all и группу SSL-VPN. В поле Destination - необходимую локальную сеть. Далее выбрать необходимые сервисы и сохранить политику. Пример указан на рисунке ниже.

Рисунок 9. Пример
Рисунок 9. Пример

Тестирование

Теперь можем протестировать. Начнем с web режима. Перейдя по адресу 10.10.30.210:443 увидим следующее окно:

Рисунок 10. Тест

Рисунок 10. Тест


Вводим учетные данные пользователя testvpn и попадаем на его личную страницу.

Рисунок 11. Личная страница
Рисунок 11. Личная страница

Как видно, здесь уже присутствует наша закладка. Также пользователь может создать собственную закладку, или подключиться к интересующему ресурсу без создания закладки (Quick Connection). Кликнем на нашу закладку.

Рисунок 12. Удаленный рабочий стол
Рисунок 12. Удаленный рабочий стол

Попали на удаленный рабочий стол. Значит все работает так, как нам нужно. Теперь проверим туннельный режим. Для этого необходимо настроить FortiClient.

Настройка Forticlient


Рисунок 13. Настройка FortiClient
Рисунок 13. Настройка FortiClient

Здесь ничего сложного - название подключения, IP адрес FortiGate, порт, по которому необходимо подключаться, если необходимо - выбор сертификата, а также параметры аутентификации (либо запрашивать логин и пароль при каждом подключении, либо сохранить логин). Сохраняем данное подключение. Теперь пробуем подключиться.

Рисунок 14. Проверка подключения
Рисунок 14. Проверка подключения

Данное окно характеризует то, что мы подключились успешно. На этом базовая настройка SSL VPN завершена.



Если у вас возникли трудности или вопросы, вы можете обратиться к нам по телефону или почте.
Для запроса бесплатной лицензии FG-VM на 60 дней заполняйте форму на главной странице.