FortiGate 60E SSL VPN 設定 (使用LDAP驗證)

家中的防火牆更換為 60E,所以隨手設定一下ssl vpn,也因為家中有LAB環境有AD所以
VPN連線就使用LDAP來驗證。

新增LDAP主機

用戶名 : 自訂

主機名稱/IP : 就是DC IP

port : 389

通用名稱標識 :  預設是CN。有三種可填,UPD(Display Name)、CN(Full Name)、
sAMAccountName

可辨識名稱 : 這裡就是搜尋的目標 我直接設定最上層  dc=pmail,dc=idv,dc=tw

使用者DN : 查詢所使用的帳號

密碼: 查詢所使用的帳號的密碼

bind type : 設定正規模式

2018-07-09_144032

因為我有兩台DC所以都設定上去

2018-07-09_144827


新增用戶端

ssl-vpn-2018-1

用戶類型 : 遠端LDAP用戶

ssl-vpn-2018-2

選擇 以設定的LDAP Server

ssl-vpn-2018-3

搜尋需要新增的用戶

ssl-vpn-2018-4

新增完畢

ssl-vpn-2018-5

建立群組,並加入前面步驟的人員

ssl-vpn-2018-6

ssl-vpn-2018-7

新增遠端群組,也就是說將LDAP 主機加進來,不然用戶端會無法驗證成功

點選 create new

999

找到前面步驟設定的主機 DC1

99901

將兩台都加進來

99900019

建立 SSL VPN 入口 給 遠端 使用者:

點選 VPN –> SSL-VPN-Protals –> 點[tunnel-access] 然後點選編輯

ssl-vpn-2018-8

停用 切分隧道

ssl-vpn-2018-9

建立 SSL VPN 通道

設定 介面監聽「WAN」端口
2. 設定 Listen on Port「10443
3. 允許從任何主機訪問
4. 選擇「自動分配地址
5. 選擇「相同的客戶端系統DNS
6. 加入「Group (群組)」=> Portal「SSLVPN」
所有其他用戶/群組 =>Portal「Tunnel-Access

1

2

建立物件,在fortnet 中設定位置物件方便後面policy設定

我設定兩個網段 Home-Clinet and Home-Server

2018-07-09_143428

設定policy 兩條

ssl-vpn to internal (內部):

ssl-vpn-2018-10

ssl-vpn to internet(外部):

ssl-vpn-2018-11

測試:

用戶端安裝好fortinet client 及設定相關資訊後,連線 確實可以看到拿到配發的IP

ssl-vpn-2018-13

但是因為此設定不適通道分割模式,所以所有的流量都會由我家中的網路出去

ssl-vpn-2018-12

設定通道分割模式:

將前面ssl-vpn-internet policy 刪除後,在啟動分割模式,並將內部網段加入(如下圖)

ssl-vpn-2018-14

連線後測試,可以看到下圖

如果是要連其他網站會走本身用戶端的網路,如果是連我自己家中的主機就會走SSL-VPN

ssl-vpn-2018-15

參考資料

http://my-fish-it.blogspot.com/2017/01/ss-fortigate-543-firewall-tunnel-ssl-vpn.html

http://littlecut-otaku.blogspot.com/2015/06/fortigate-ldap-servers.html



本篇瀏覽人數: 10262
分類: Fortigate篇, MIS文章-網路篇。這篇內容的永久連結

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *