Поиск по сайту

Полезные статьи

31.03.2020

Удаленный доступ через IPsec VPN


Рассмотрим стандартный процесс создания VPN туннеля для подключения удаленных пользователей к локальной сети организации. Для этого нам сначала необходимо создать пользователей, которые будут подключаться через туннель.

Если планируется использование удаленных пользователей (LDAP, RADIUS) - этот пункт можно пропустить.  Создание пользователей происходит из меню User & Devices -> User Definition -> Create New.

Рисунок 1. Создание пользователей.
Рисунок 1. Создание пользователей.

Далее, созданных пользователей необходимо объединить в группу. Для этого нужно создать новую группу в меню User & Devices -> User Group -> Create New. В этом меню, в поле Members необходимо добавить созданных пользователей.

Рисунок 2. Объединение в группу.
Рисунок 2. Объединение в группу.

Если планируется использование удаленных пользователей, в поле Remote Groups необходимо выбрать удаленный сервер (он должен быть привязан к FortiGate), и в появившемся списке выбрать необходимую группу (или группы), щелкнуть по ней правой кнопкой мыши и нажать на появившееся окно “Add Selected”. 

Рисунок 3. Использование удаленных пользователей.
Рисунок 3. Использование удаленных пользователей.

Создание VPN туннеля

Приступаем к созданию самого VPN туннеля. Для этого воспользуемся IPsec Wizard’ом. Перейдем в меню VPN -> IPsec Wizard.

Первым шагом нам необходимо ввести название туннеля, выбрать его тип (в нашем случае - Remote Access) и выбрать тип удаленных устройств. В этом примере для подключения мы будем использовать ПО FortiClient, поэтому выбираем тип Client Based и FortiClient.

Рисунок 4. Создание VPN туннеля. Шаг 1.
Рисунок 4. Создание VPN туннеля. Шаг 1.

Вторым шагом нам нужно выбрать интерфейс, на который будут приходить удаленные подключения. В нашем случае это port3. Дальше необходимо выбрать тип аутентификации - секретный ключ или сертификат. Мы выбираем секретный ключ. Дальше вводим значение секретного ключа в поле Pre-shared key. И в поле User Group выбираем группу, созданную ранее.

Рисунок 5. Создание VPN туннеля. Шаг 2.
Рисунок 5. Создание VPN туннеля. Шаг 2.

Третий шаг заключается в конфигурации Policy & Routing. Нам необходимо указать локальный интерфейс, к которому будут подключаться удаленные пользователи. В поле Local Address необходимо выбрать подсети, к которым будут иметь доступ удаленные пользователи (их нужно предварительно настроить в меню Policy & Objects -> Addresses). Далее, нужно выбрать диапазон IP адресов, которые будут присваиваться удаленным пользователям при подключении. Важно проследить, чтобы эти адреса не пересекались с вашей внутренней адресацией. 

Поле DNS Server позволяет выбрать DNS сервер, которым будут пользоваться удаленные пользователи при подключению к туннелю.

Опция Enable Split Tunnel позволяет давать доступ пользователям только к определенным подсетям, а не пускать весь их трафик через FortiGate.

Опция Allow Endpoint Registration позволяет получать различную информацию об удаленных точках, и на основании этой информации принимать решения (например разрешать подключаться удаленной точке или нет). 

Рисунок 6. Создание VPN туннеля. Шаг 3.
Рисунок 6. Создание VPN туннеля. Шаг 3.


Последний шаг - настройка клиентских опций. Можно активировать следующие опции:  сохранения пароля, авто подключение и непрерывное подключение.

Рисунок 7. Создание VPN туннеля. Шаг 4.
Рисунок 7. Создание VPN туннеля. Шаг 4


После данного шага создается туннель, а мы видим следующее “саммари”:

Рисунок 8. Итог.
Рисунок 8. Итог.


Здесь перечислены все объекты, которые были созданы в процессе работы Wizard’а. Посмотрим, например, на созданную политику Remote to Local:

Рисунок 9. Созданная политика Remote to local.
Рисунок 9. Созданная политика Remote to local.

Настройка VPN подключения с клиентской стороны

Теперь рассмотрим настройки с клиентской стороны. Для этого необходимо открыть FortiClient, перейти во вкладку Remote Access и создать новое подключение. В поле VPN необходимо выбрать тип подключения, в нашем случае IPsec VPN. В поле “Имя соединения” необходимо ввести понятное название туннеля.

В поле “Удаленный шлюз” необходимо ввести IP адрес внешнего интерфейса FortiGate, к которому мы будем подключаться. Если посмотреть выше, в нашем случае этот интерфейс - port3. Его IP адрес - 10.10.30.210. Метод аутентификации и сам ключ должны совпадать с тем, что мы настроили на FortiGate. Напоминаю - в качестве метода мы выбрали секретный ключ, а в качестве значения ключа - слово fortinet. 

В поле “Аутентификация” нужно выбрать либо опцию “Запрашивать”, чтобы при каждом подключении FortiClient запрашивал имя пользователя и пароль, либо опцию “Сохранить логин”, чтобы при каждом подключении запрашивался только пароль. Соответственно, во втором случае в поле “Имя пользователя” необходимо ввести логин. 

Рисунок 10. Настройки с клиентской стороны.
Рисунок 10. Настройки с клиентской стороны.

Больше ничего настраивать не нужно. Нажимаем сохранить. Теперь у нас есть доступное подключение. Вводим пароль и пробуем подключиться. Видим следующее окно:

Рисунок 11. Успешное подключение.
Рисунок 11. Успешное подключение.

Оно говорит о том, что мы успешно подключились к сети нашего предприятия и теперь имеем защищенный доступ к его внутренним ресурсам.


Если у вас возникли трудности или вопросы, вы можете обратиться к нам по телефону или почте.
Для запроса бесплатной лицензии FG-VM на 60 дней заполняйте форму на главной странице.