Questa procedura spiega come configurare una VPN utilizzando SSL per connettersi a qualsiasi PC da Internet alla LAN dell'organizzazione. Tutto il traffico verrebbe crittografato utilizzando SSL. E devi solo avere un browser compatibile, senza installare software. Vengono spiegate due parti:

– Impostazioni del firewall – QUI
– Connessione client VPN a una stazione – QUI

Configurazione VPN su Fortigate,

Sul FW devono essere effettuate configurazioni molto semplici per consentire questo tipo di connessione, primo, Creeremo un utente e un gruppo; in modo che l'autenticazione venga poi eseguita con loro. Quindi configureremo sul FW che può essere collegato tramite SSL.

Arriviamo a FW, andremo a creare l'utente e poi a connetterci tramite VPN. In “Utente” > “Locale” > Clicca su “Crea nuovo”.

In “Nome utente” Mettiamo il login per l'utente e in “Parola d’ordine” La password, Diamo “OK”.

Ora creeremo il gruppo, poiché Fortigate non gestisce gli utenti. Stiamo per “Utente” > “Gruppo di utenti” e clicca su “Crea nuovo”.

In “Nome” Indichiamo il nome del gruppo, Per esempio: GrupoVPNssl e in “Digitare” Indichiamo che è del tipo “SSL VPN”. In “Utenti disponibili” Selezioniamo l'utente a sinistra che ci interessa inserire nel gruppo e spostiamolo a destra cliccando su . Dobbiamo consentire loro di connettersi alla VPN, A tale scopo, selezionare l'icona “Abilita il servizio tunnel SSL-VPN”. E se vogliamo possiamo relimitarlo se ha un antivirus installato, o un firewall. O se siamo interessati a metterlo in un intervallo IP per quando il server DHCP gli assegnerà un IP. In modo da non avere problemi con la cache, Contrassegneremmo per svuotare la cache, “Abilita pulizia cache”.

Ok, lo vediamo in “SSL VPN” Il nostro gruppo sta uscendo. Ora configuriamo la VPN stessa.

Per configurare la VPN andremo a “VPN” > “Certificato SSL”. Dobbiamo abilitarlo “Abilita SSL-VPN”, La porta predefinita è la 10443; Questa sarà la porta a cui i client devono connettersi per connettersi, all'IP pubblico di WAN1 (o qualunque cosa sia). In “Intervallo IP tunnel” indichiamo quello che sarà il range IP che verrà assegnato a tutti coloro che si connettono alla VPN (quindi non è più necessario un server DHCP), abbiamo impostato un intervallo LAN. In “Certificato server” abbiamo selezionato quello di Fortigate, Quello e nessun altro. Per una maggiore sicurezza, Indicheremo che la sicurezza a 128 bit è richiesta al cliente componendo il numero “Richiedi chiave kength > 128pezzo(Alto)”. Le “Timeout di inattività” Va bene così com'è con quel tempo. In “Server DNS #1” diciamo quale server sarà quello che risolve i nomi DNS della LAN, indichiamo l'IP del server DNS della LAN. Diamo “Applicare”.

Ora dobbiamo creare una policy per consentire queste connessioni, poiché “Firewall” > “Politica” > e crearne uno nuovo in “Crea nuovo”.

Ok, Nella regola è, Configuriamo l'origine che verrà “Fonte” Le “wan1” E sta andando tutto alla mia LAN che è la gamba di “interno”. In “Servizio” Mettere “QUALUNQUE” in modo che la VPN non chiuda nessuna porta tra cui si connettono. In “Azione” deve essere indicato che è “SSL-VPN”, in “Gruppi disponibili” Indichiamo il gruppo che abbiamo creato in precedenza e lo contrassegniamo come “Permesso” con . Diamo “OK” Per creare la regola.

Controlliamo che la nostra regola vada da WAN1 a INTERNAL e in Azione dice “SSL-VPN”. Bene, Tutto sul lato firewall è già configurato, ora rimarrebbe solo la parte del cliente.

Connessione dal client,

In questa parte del documento viene illustrato come connettere un utente con un browser solo alla rete aziendale utilizzando la VPN SSL.

Prima di tutto, è dal PC client, aprire un browser e connettersi all'indirizzo IP pubblico del firewall utilizzando il protocollo SSL (HTTPS) e al porto 10443, Nel mio esempio: https://XXX.XXX.XXX.XXX:10443. Per mezzo di un avviso indicherà che dobbiamo accettare il certificato e dobbiamo continuare, in Internet Explorer 7 Clicca su “Continua su questo sito”, se si tratta di un altro browser è solo per premere “OK” di accettarlo o “Sì”.

Ok, Ora ci chiederà un nome utente e una password, Questi saranno quelli che abbiamo creato prima, all'inizio del presente documento. Sono utenti del firewall, appartenenti al gruppo che abbiamo creato sopra denominato “GrupoVPNssl”, un membro di tale gruppo era “uservpnssl”, inserisci la tua password e clicca su Login. (Se non si desidera utilizzare gli utenti FW e si desidera utilizzare gli utenti di Active Directory, è possibile utilizzare lo strumento FSAE come spiegato QUI).

Giù in Strumenti, Possiamo connetterci solo a servizi specificati, se quello che vogliamo è che non siano completamente connessi alla LAN della nostra rete, ma solo via web (Connettiti al server Web) o semplicemente ping, o Telnes, o VNC o una connessione desktop remoto utilizzando “Rdp all'host”. Ma questo documento spiega come stabilire una connessione VPN, quindi faremo clic sul collegamento a “Attiva la modalità tunnel SSL-VPN”.

Ci chiederà di installare un controllo ActiveX, Quindi l'abbiamo installato dalla barra in alto, Clicca su “Installare il controllo ActiveX…”

“Installare”,

Ok, Ora da questa schermata vedremo da dove proviene la nostra connessione “Stato del collegamento”, Ora è offline (Giù), Per connetterci dobbiamo cliccare su “Connettersi”.

Non male, dice già che la connessione VPN è attiva “Stato del collegamento” (Su) e indica i Byte inviati e ricevuti, Saremo in grado di lavorare normalmente, Possiamo ridurre a icona questo sito Web e lavorare contro la rete aziendale in modo sicuro utilizzando le risorse di cui abbiamo bisogno, avremo un IP della LAN aziendale e potremo accedere ai servizi di cui abbiamo bisogno. Se vogliamo disconnetterci, sarebbe facile come premere “Disconnettere”.