Einrichten eines Fortigate SSL-VPN

Druckfreundlich, PDF & Email

In diesem Verfahren wird erläutert, wie Sie ein VPN mit SSL einrichten, um eine Verbindung mit einem beliebigen PC über das Internet mit dem LAN Ihrer Organisation herzustellen. Der gesamte Datenverkehr wird mit SSL verschlüsselt. Und Sie benötigen nur einen kompatiblen Browser, ohne Installation von Software. Zwei Teile werden erläutert:


– Firewall-Einstellungen – HIER
– VPN-Client-Verbindung an einer Station – HIER

VPN-Konfiguration auf Fortigate,

Um diese Art der Verbindung zu ermöglichen, müssen sehr einfache Konfigurationen an der FW vorgenommen werden, erste, Wir erstellen einen Benutzer und eine Gruppe; damit die Authentifizierung dann mit ihnen erfolgt. Dann konfigurieren wir auf der FW, dass sie über SSL verbunden werden kann.

Wir kommen zur FW, Wir werden den Benutzer erstellen und dann eine Verbindung per VPN herstellen. In “Benutzer” > “Lokal” > Anklicken “Neu erstellen”.

In “Benutzername” Wir legen den Login für den Benutzer und in “Passwort” Das Passwort, Wir geben “OKAY”.

Jetzt erstellen wir die Gruppe, da Fortigate nicht mit Benutzern umgeht. Wir werden “Benutzer” > “Benutzergruppe” und klicken Sie auf “Neu erstellen”.

In “Name” Wir geben den Namen der Gruppe an, Zum Beispiel: GrupoVPNssl und in “Art” Wir geben an, dass es sich um den Typ “SSL-VPN (Englisch)”. In “Verfügbare Benutzer” Wählen Sie links den Benutzer aus, den wir in die Gruppe aufnehmen möchten, und verschieben Sie ihn nach rechts, indem Sie auf . Wir müssen ihnen erlauben, sich mit dem VPN zu verbinden, Wählen Sie dazu die Schaltfläche “SSL-VPN-Tunneldienst aktivieren”. Und wenn wir wollen, können wir es wieder einschränken, wenn ein Antivirenprogramm installiert ist, oder eine Firewall. Oder ob wir daran interessiert sind, es in einen IP-Bereich zu setzen, wenn der DHCP-Server ihm eine IP zuweisen wird. Damit Sie keine Probleme mit dem Cache haben, Wir würden markieren, um den Cache zu leeren, “Aktivieren der Cache-Bereinigung”.

Okay, Das sehen wir an “SSL-VPN (Englisch)” Unsere Gruppe kommt heraus. Richten wir nun das VPN selbst ein.

Um das VPN einzurichten, gehen wir wie folgt vor: “VPN” > “SSL-Verbindung”. Wir müssen es ermöglichen “SSL-VPN aktivieren”, Der Standardport ist der 10443; Dies ist der Port, mit dem Clients eine Verbindung herstellen müssen, um eine Verbindung herzustellen, an die öffentliche IP-Adresse von WAN1 (oder was auch immer es ist). In “Tunnel-IP-Bereich” Wir geben an, wie groß der IP-Bereich sein wird, der jedem zugewiesen wird, der sich mit dem VPN verbindet (somit ist ein DHCP-Server nicht mehr notwendig), Wir richten eine LAN-Reihe ein. In “Server-Zertifikat” Wir haben uns für das von Fortigate entschieden, Das eine und kein anderes. Für mehr Sicherheit, Wir weisen darauf hin, dass der Kunde eine 128-Bit-Sicherheit benötigt, indem er “Schlüsselkenkung erforderlich > 128Bit(Hoch)”. Das “Zeitüberschreitung im Leerlauf” Es ist in Ordnung, so wie es mit dieser Zeit ist. In “DNS-Server #1” Wir sagen, welcher Server derjenige sein wird, der die DNS-Namen des LAN auflöst, Wir geben die IP des DNS-Servers des LAN an. Wir geben “Anwenden”.

Jetzt müssen wir eine Richtlinie erstellen, um diese Verbindungen zuzulassen, seit “Firewall” > “Politik” > und erstellen Sie ein neues in “Neu erstellen”.

Okay, In der Regel ist, Wir konfigurieren den Ursprung, der “Quelle” das “wan1” Und es geht alles in mein LAN, das ist das Bein von “intern”. In “Dienst” Stellen “JEGLICHE” damit das VPN keine Ports schließt, zwischen denen es eine Verbindung herstellt. In “Aktion” Es muss darauf hingewiesen werden, dass es sich um “SSL-VPN (Englisch)”, in “Verfügbare Gruppen” Wir geben die Gruppe an, die wir zuvor erstellt haben, und markieren sie als “Erlaubt” mit . Wir geben “OKAY” So erstellen Sie die Regel.

Wir überprüfen, ob unsere Regel von WAN1 zu INTERNAL ist, und in Aktion lautet “SSL-VPN (Englisch)”. Brunnen, Alles auf der Firewall-Seite ist bereits eingerichtet, Jetzt blieb nur noch der Teil des Kunden übrig.

Verbindung vom Client aus herstellen,

In diesem Teil des Dokuments wird erläutert, wie Sie einen Benutzer mit einem Browser nur über SSL VPN mit dem Unternehmensnetzwerk verbinden.

Zunächst einmal ist es vom Client-PC, Öffnen Sie einen Browser und stellen Sie über das SSL-Protokoll eine Verbindung zur öffentlichen IP-Adresse der Firewall her (HTTPS) und zum Hafen 10443, In meinem Beispiel: https://XXX.XXX.XXX.XXX:10443. Mittels eines Hinweises wird darauf hingewiesen, dass wir das Zertifikat akzeptieren müssen und wir fortfahren müssen, im Internet Explorer 7 Anklicken “Weiter zu dieser Website”, Wenn es sich um einen anderen Browser handelt, müssen Sie einfach “OKAY” diese anzunehmen oder “Ja”.

Okay, Nun werden wir nach einem Benutzernamen und einem Passwort gefragt, Dies werden diejenigen sein, die wir zuvor erstellt haben, Am Anfang dieses Dokuments. Firewall-Benutzer sind, zu der Gruppe gehören, die wir oben als “GrupoVPNssl”, Ein Mitglied dieser Gruppe “uservpnssl”, Geben Sie Ihr Passwort ein und klicken Sie auf Anmelden. (Wenn Sie keine FW-Benutzer verwenden möchten, aber Active Directory-Benutzer verwenden möchten, Sie können das FSAE-Tool wie beschrieben verwenden HIER).

Unten in Tools, Wir dürfen uns nur mit bestimmten Diensten verbinden, wenn wir möchten, dass sie nicht vollständig mit dem LAN unseres Netzwerks verbunden sind, aber nur über das Web (Verbindung zum Webserver herstellen) oder einfach Pings, o Telnes, oder VNC oder eine Remote-Desktop-Verbindung über “Rdp zum Host”. In diesem Dokument wird jedoch erläutert, wie Sie selbst eine VPN-Verbindung herstellen, also klicken wir auf den Link zu “SSL-VPN-Tunnelmodus aktivieren”.

Wir werden aufgefordert, ein ActiveX-Steuerelement zu installieren, Also haben wir es von der oberen Leiste aus installiert, Anklicken “Installieren des ActiveX-Steuerelements…”

“Installieren”,

Okay, Von diesem Bildschirm aus sehen wir nun, woher unsere Verbindung kommt “Status der Verknüpfung”, Jetzt ist es offline (Herab), Um eine Verbindung herzustellen, müssen wir auf klicken “Verbinden”.

Nicht schlecht, Es wird bereits angezeigt, dass die VPN-Verbindung aktiv ist “Status der Verknüpfung” (Oben) und gibt die gesendeten und empfangenen Bytes an, Wir werden normal arbeiten können, Wir können diese Website minimieren und sicher mit den von uns benötigten Ressourcen gegen das Unternehmensnetzwerk arbeiten, Wir werden eine IP des LAN des Unternehmens haben und wir werden in der Lage sein, auf die Dienste zuzugreifen, die wir benötigen. Wenn wir die Verbindung trennen möchten, ist es so einfach wie das Drücken “Trennen”.


Empfohlene Beiträge

VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten
Lesen
VPN mit Citrix NetScaler II - Anfordern des Zugriffs auf Zertifikate
Lesen
FortiGate-Metriken mit Prometheus und Grafana
Lesen
VPN mit Citrix NetScaler IV - Immer eingeschaltet
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Erstellen Sie ein VPN zwischen zwei Fortigates mit IPSEC

21 Oktober 2008

Installation, Konfigurieren und Verwenden von FortiReporter Verwenden von Fortigate

21 Oktober 2008