百利工頭 » 防火牆及負載平衡器 » [轉貼]快速設定Fortigate SSL VPN

查看完整版本: [轉貼]快速設定Fortigate SSL VPN

chun 2009-11-19 17:03

[轉貼]快速設定Fortigate SSL VPN

<h2 class="title"><a href="http://www.askasu.idv.tw/index.php/2009/04/13/418/" rel="bookmark">快速設定Fortigate SSL VPN</a></h2>
 <div class="meta">
 
 分類：<a href="http://www.askasu.idv.tw/index.php/category/computers/hardwares/" title="觀看分類「硬體好軟」的全部文章" rel="category tag">硬體好軟</a>
 , 有 3,325 次瀏覽過 , 有 724 個機器人爬過
 
 </div>
 <div class="entry">
 <img src="http://www.askasu.idv.tw/album/20090413/fgsslvpnvisio.jpg" alt="網路基本架構圖">
其實，我對Fortinet 的防火牆設備有非常大的好感，尤其光手邊在惡搞的<a href="http://www.fortinet.com.tw/products/telesoho.html" onclick="javascript:pageTracker._trackPageview('/outbound/article/www.fortinet.com.tw');" target="_blank">FG60B</a> 也提供<a href="http://en.wikipedia.org/wiki/SSL_VPN" onclick="javascript:pageTracker._trackPageview('/outbound/article/en.wikipedia.org');" target="_blank">SSL VPN</a> 功能，實在讓人覺得揪甘心啊～ <img src="http://www.askasu.idv.tw/wp-includes/images/smilies/msn_laugh.png" alt="/:D/" class="wp-smiley"> 
就算你的老闆出差到中國包二奶，也能透過SSL VPN 連回公司存取內部資料，甚至避開<a href="http://zh.wikipedia.org/w/index.php?title=%E9%98%B2%E7%81%AB%E9%95%BF%E5%9F%8E&variant=zh-tw" onclick="javascript:pageTracker._trackPageview('/outbound/article/zh.wikipedia.org');" target="_blank">偉哉網路長城</a>的封鎖，藉由台灣的線路正常瀏覽無名正妹相簿政經新聞及相關網站。或許，有人會說為什麼不用<a href="http://en.wikipedia.org/wiki/PPTP" onclick="javascript:pageTracker._trackPageview('/outbound/article/en.wikipedia.org');" target="_blank">PPTP VPN</a>，我個人認為PPTP  其實沒有想像中方便，尤其對於一般使用來說，光找出連線設定恐怕就有一定的複雜度，更何況無法預期身處的網路環境是否允許PPTP 封包通過。
至於，啟用的設定方式也很簡單，記得三大原則： 
● VPN 使用者及群組的設定 
● 防火牆Policy 的設定 
● 路由設定
當然，這次還是拿FG60B（FortiOS 3.0 MR7）當範例：
1) 到VPN -> SSL，啟用SSL VPN。參考上方的網路架構圖，設定Tunnel IP 範圍為「192.168.254.1 至 192.168.254.50」。
由於我假設的內部網路為網域環境，所以在進階設定的DNS及WINS Server，都指定AD主機的IP。實務上，如果公司同樣有網域環境，強烈建議設定成跟內部網路環境一樣，在網芳連線上也比較不會有問題。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnconfig.jpg" alt="啟用SSL VPN">
2) 到User -> Local 新增使用者。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnset1.jpg" alt="新增使用者">
本範例為建立一個使用者「sslvpn」於本機上。記得..密碼要設定啊！ 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnset2.jpg" alt="新增sslvpn的使用者">
3) 到User Groups -> 新增群組。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnset3.jpg" alt="新增群組">
範例所建立的群組名稱為「SSLVPN_GP」，設定SSL VPN 的Tunnel IP 範圍與先前設定一樣，為「192.168.254.1 至 192.168.254.50」。注意！類型需選擇「SSL_VPN」，並且將已經建立好的帳號「sslvpn」選取至Members 裡。
至於其他選項的功能，有興趣的人可以翻原廠文件：<a href="http://docs.forticare.com/fgt/archives/3.0/techdocs/FortiGate_SSL_VPN_User_Guide_01-30007-0348-20080718.pdf" onclick="javascript:pageTracker._trackPageview('/outbound/article/docs.forticare.com');">SSL VPN User Guide 3.0 MR7</a>。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnset4.jpg" alt="建立SSVPN_GP的群組及加入使用者">
4) 到Firewall -> Policy ，新增相關Policy。依據最上方的網路架構及設想可能的用途，VPN 進來的用戶端及內部網路必須能互相溝通，而且VPN用戶端可透過該設備上網。所以必須增加下列Policy：
● Wan1 -> Internal。注意！「Action」的類型請務必選擇「SSL-VPN」，並且允許「SSLVPN_GP」群組可使用SSL VPN。
其實，這條Policy 就是攸關使用者能否透過https存取及登入的設定，沒有建立這條就啥都別談了。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnsetpolicy1.jpg" alt="建立Wan 1 到Internal 的SSL VPN 登入">
● Internal -> ssl.root。「ssl.root」指的就是SSL VPN 的網路環境位置，故要讓內部網路能存取到VPN 用戶端的資源，則必須建立相關Policy。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnsetpolicy2.jpg" alt="建立內部到VPN 端的Policy">
● ssl.root -> Internal。這...不用特別解釋了吧... 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnsetpolicy3.jpg" alt="建立VPN 端到內部的Policy">
● ssl.root -> Wan 1。這點要注意的是，因為SSL VPN 用戶端在撥入後，需要透過Fortigate上網，所以務必勾選「NAT」，不然你就在內部網路玩小圈圈就好了。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnsetpolicy4.jpg" alt="建立VPN 端對外的Policy">
完成後，除了原本就有的「Internal -> wan 1」，一共增加了四條Policy。<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnsetpolicy5.jpg" alt="Policy 總覽">
5) 到Router -> Static，新增一筆Static Route。由於SSL VPN  的Tunnel IP Range 範例設定為192.168.254.[1-50]，所以我就直接設定「192.168.254.0/255.255.255.0」。注意！Device 類別請記得選「ssl.root」。
你高興的話也可以不要新增啦，只是連上去會發現不能互通而已。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60brouteset.jpg" alt="新增路由">
以上就算是完成所有設定。
接著進行測試，請先確認Fortigate 的外部IP及SSL VPN 的Login Port。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnport.jpg" alt="預設SSL VPN 登入埠為10443">
然後輸入「https://外部ip:10443」，就能看到登入畫面了。請記得加上「https」跟「埠號」，否則到死都連不上。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnlogin.jpg" alt="SSL VPN 登入畫面">
如果是初次登入，在登入後應該會跳出安裝ActivX 的要求。想連SSL VPN 的話，乖乖裝就對啦！ 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnactivex.jpg" alt="安裝ActiveX">
連接成功就會出現像下面這兩張圖一樣的訊息。 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpnsuccess.jpg" alt="連接fortissl成功"> 
<img src="http://www.askasu.idv.tw/album/20090413/fg60bsslvpn.jpg" alt="連接訊息頁面">
很讚吧！用HTTPS 網頁登入的方式就能完成SSL VPN 連線，就代表你的電腦只要能上網，就能輕鬆連回公司內部。
對～～關掉那個頁面，VPN 也就跟著斷了... <img src="http://www.askasu.idv.tw/wp-includes/images/smilies/msn_oo.gif" alt="/=.=/" class="wp-smiley"> 
所以，我個人強力推薦<a href="http://support.fortinet.com/" onclick="javascript:pageTracker._trackPageview('/outbound/article/support.fortinet.com');" target="_blank">到Fortinet 技術支援網站</a>下載SSL VPN 撥接軟體。（限定已註冊用戶） 
<img src="http://www.askasu.idv.tw/album/20090413/fgsslvpnclientdl.jpg" alt="各版本的SSL VPN Clinet 軟體">
撥接方式更為簡單，只要預設的SSL VPN Login Port 沒有更動（預設為10443）， 輸入IP 後連埠號都無須輸入，再鍵入帳號密碼選「Connect」，就能連上SSL VPN 囉！ 
<img src="http://www.askasu.idv.tw/album/20090413/fgsslvpnclientdial.jpg" alt="SSL VPN Clinet 撥接畫面">
就算不小心點到「X」，也只會縮到右小角的工具列中。 
<img src="http://www.askasu.idv.tw/album/20090413/fgsslvpnclienttrayicon.jpg" alt="縮到工具列囉">
上面教的步驟真的是快速設定，所以Policy 的Source 及Destination Address 都是設定「all」，而且連防護的Protection Profile 都沒加上。
如果對Fortigate 有一定熟悉度的人，我還是建議認真把相關防護設定好，不然哪天被玩很大就麻煩了。
下一篇再來討論「如何切割VPN通道」，也就是VPN 用戶端除了進公司內部網路的流量走VPN 通道，其餘都還是走原本的對外線路。應該沒人希望哪天老闆到荷蘭出訪看紅燈區的櫥窗女郎，上Internet 查資料時還要透過半個地球外的Fortigate 吧！？
相關參考文件： 
Fortinet Knowledge Center - <a href="http://www.askasu.idv.tw/wp-admin/fgt/archives/3.0/techdocs/FortiGate_SSL_VPN_User_Guide_01-30007-0348-20080718.pdf" onclick="javascript:pageTracker._trackPageview('/downloads/wp-admin/fgt/archives/3.0/techdocs/FortiGate_SSL_VPN_User_Guide_01-30007-0348-20080718.pdf');">SSL VPN User Guide</a>（<a href="http://docs.forticare.com/int/cn/fgt/3.0/FortiGate_SSL_VPN_User_Guide_Chinese_01-30007-0348-20080718.pdf" onclick="javascript:pageTracker._trackPageview('/outbound/article/docs.forticare.com');" target="_blank">簡體版</a>）
 </div>

 <h4>　閱讀相關文章：</h4><ul class="related_post"><li><a href="http://www.askasu.idv.tw/index.php/2009/05/17/493/" title="快速設定Fortigate Site to Site IPEC VPN">快速設定Fortigate Site to Site IPEC VPN</a></li><li><a href="http://www.askasu.idv.tw/index.php/2009/04/21/435/" title="設定Fortigate SSL VPN 分割通道">設定Fortigate SSL VPN 分割通道</a></li><li><a href="http://www.askasu.idv.tw/index.php/2009/04/07/407/" title="設定Fortigate防火牆的PPPoE連線">設定Fortigate防火牆的PPPoE連線</a></li><li><a href="http://www.askasu.idv.tw/index.php/2009/07/27/600/" title="[不專業拆機] Ascenlink 330 頻寬管理器">[不專業拆機] Ascenlink 330 頻寬管理器</a></li><li><a href="http://www.askasu.idv.tw/index.php/2009/05/11/481/" title="Fortigate SSL VPN 與2008 NPS Server 的快速設定">Fortigate SSL VPN 與2008 NPS Server 的快速設定</a></li></ul>

頁: [1]

查看完整版本: [轉貼]快速設定Fortigate SSL VPN