首先感谢FortiNet 超级技术群的Vince J
之前beta版本文档我已经删了,是因为一直在做从内到外的认证测试没有实际用VPN测试。现在LDAP可以正常使用了。
实验环境:
防火墙FG200B,系统为V4.0,build0313,110301 (MR2 Patch 4)
活动目录DC,系统为Windows Server 2008 R2
<!--[if !supportLists]-->1、
<!--[endif]-->依次展开设置用户→远程→LDAP并新建
<!--[if !supportLists]-->2、
<!--[endif]-->名称随意,这里是test
<!--[if !supportLists]-->3、
<!--[endif]-->服务器IP为DC的IP地址
<!--[if !supportLists]-->4、
<!--[endif]-->端口为默认389
<!--[if !supportLists]-->5、
<!--[endif]-->普通名称为cn
<!--[if !supportLists]-->6、
<!--[endif]-->标示名称格式为DC=test,DC=com,假设FQDN为baidu.com,这里的格式就是DC=baidu,DC=com,按照实际域名为准
<!--[if !supportLists]-->7、
<!--[endif]-->类型为常规
<!--[if !supportLists]-->8、
<!--[endif]-->这里需要输入一个域中有可读权限的用户,一般输入域管理员即可,格式为administrator@test.com,并输入密码
<!--[if !supportLists]-->9、
<!--[endif]-->点击查询
查询后的结果:
我们可以看到能读出AD中相应的参数
接着依次展开设置用户→设置用户→设置用户并新建:
名称随意,点选LDAP server并选择刚才建立的名为test的认证
接着一次展开设置用户→用户组→用户组并新建
名称随意,类别防火墙,加入刚才建立的用户test,下面的远端服务器选择最初建立的LDAP认证服务器也就是最初的test,后面选择Any 允許SSL-VPN輸入要勾對應VPN
至此,LDAP的认证和用户、用户组建立完毕,剩下的就是做针对SSLVPN的相关配置了。
依次展开防火墙→地址→地址并新建名为VPN user的地址范围
依次展开虚拟专网→SSL→设置并勾选启用SSL-VPN,IP池选择刚建立的地址填写DNS
再打开界面,选择setting勾选相应的协议:
在右侧点击增加部件并选择通道模式
设置通道模式
最后再建立一条地址段,此地址段为VPN客户端接入之后需要与之通讯的网段,我们内网为1.0网段,我们就建立一条1.0的网段:
建立SSL VPN策略:
从外部到内部,目的地址为刚才建立的内网1.0网段,动作为SSL-VPN,勾选用户认证,添加之前建立的VPN组并赋予any的可用服务
我们之前做了通道分割所以这里我们还要建立两条策略:
通道模式是通过虚拟接口“ssl.root”来与内网通讯的,所以要设置SSL.root与其他接口之间的策略,策略的动作是Accept即可。
我们还需要对路由进行调整,添加一条到ssl.root的静态路由:
在完成以上步骤后,用户就可以实现登录了,输入https://接口ip:10443
注意端口缺省为10443该端口可以在系统管理→管理员设置→设置中更改,输入一个有效的域用户名和密码即可登录。注:第一次登录浏览器需要安装客户端。