设置 Fortigate SSL VPN

此过程说明如何使用 SSL 设置 VPN，以连接到从 Internet 到您组织的 LAN 的任何 PC. 所有流量都将使用 SSL 进行加密. 您只需要有一个兼容的浏览器, 无需安装软件. 解释分为两部分:

– 防火墙设置 – 这里
– 一个站点的 VPN 客户端连接 – 这里

Fortigate 上的 VPN 配置,

必须在 FW 上进行非常简单的配置才能允许这种类型的连接, 第一, 我们将创建一个用户和一个组; ，然后对它们进行身份验证. 然后我们将在 FW 上配置它可以使用 SSL 连接.

我们到达 FW, 我们将创建用户，然后通过 VPN 进行连接. 在 “用户” > “当地” > 点击 “新建”.

在 “用户名” 我们将用户的登录信息放入 “密码” 密码, 我们给予 “还行”.

现在我们将创建组, 因为 Fortigate 不处理用户. 我们将 “用户” > “用户组” 并单击 “新建”.

在 “名字” 我们指示组的名称, 例如: GrupoVPNssl 和 “类型” 我们指示它是 “SSL VPN”. 在 “可用用户” 在左侧选择我们有兴趣放入组的用户，然后单击 . 我们必须允许他们连接到 VPN, 为此，请选择 “启用 SSL-VPN 隧道服务”. 如果我们愿意，如果它安装了防病毒软件，我们可以重新限制它, 或防火墙. 或者，如果我们有兴趣将其放在 IP 范围内，以便 DHCP 服务器何时为其分配 IP. 这样您就不会遇到缓存问题, 我们会标记以清除缓存, “启用缓存清理”.

还行, 我们在 “SSL VPN” 我们小组要出来了. 现在让我们设置 VPN 本身.

要设置 VPN，我们将 “虚拟专用网络” > “SSL认证”. 我们必须启用它 “启用 SSL-VPN”, 默认端口是 10443; 这将是客户端必须连接到的端口才能进行连接, 到 WAN1 的公有 IP (或者其他什么). 在 “隧道 IP 范围” 我们指示将分配给连接到 VPN 的每个人的 IP 范围 (因此不再需要 DHCP 服务器), 我们设置了一个 LAN 范围. 在 “服务器证书” 我们从 Fortigate 选择了, 那个，没有其他. 为了更高的安全性, 我们将通过拨号表明客户需要 128 位安全性 “需要密钥 kength > 128位(高)”. 这 “空闲超时” 那段时间很好. 在 “DNS 服务器 #1” 我们告诉哪个服务器将是解析 LAN 的 DNS 名称的服务器, 我们表示 LAN 的 DNS 服务器的 IP. 我们给予 “应用”.

现在我们需要创建一个策略来允许这些连接, 因为 “防火墙” > “政策” > 并在 “新建”.

还行, 在规则中是, 我们配置将 “源” 这 “wan1” 而这一切都流向我的 LAN，这是 “内部”. 在 “服务” 放 “任何” 这样 VPN 就不会关闭它们连接的任何端口. 在 “行动” 必须指出它是 “SSL-VPN 协议”, 在 “可用组” 我们指示之前创建的组并将其标记为 “允许” 跟 . 我们给予 “还行” 创建规则.

我们检查我们的规则是否从 WAN1 到 INTERNAL，并且在 Action 中它说 “SSL-VPN 协议”. 井, 防火墙端的所有内容都已设置, 现在只剩下客户的零件.

从客户端连接,

本文档的这一部分介绍如何使用 SSL VPN 将浏览器用户仅连接到公司网络.

首先，它来自客户端 PC, 打开浏览器并使用 SSL 协议连接到防火墙的公有 IP 地址 (HTTPS 协议) 和港口 10443, 在我的例子中: https://XXX.XXX.XXX.XXX:10443. 通过通知，它将表明我们必须接受证书，并且我们必须继续, 在 Internet Explorer 中 7 点击 “继续访问此网站”, 如果是其他浏览器，则只需点击 “还行” 接受它，或者 “是的”.

还行, 现在它会要求我们提供用户名和密码, 这些将是我们之前创建的, 在本文档的开头. 是防火墙用户, 属于我们上面创建的名为 “GrupoVPNssl 公司”, 该组的一名成员是 “用户 VPNSSL”, 输入您的密码，然后单击登录. (如果您不想使用 FW 用户，但确实希望使用 Active Directory 用户, 您可以按照说明使用 FSAE 工具这里).

在 Tools 中向下, 我们只能连接到指定的服务, 如果我们想要的是让它们不完全连接到我们网络的 LAN, 但只能通过 Web (连接到 Web 服务器) 或简称 Ping, o 特尔内斯, 或 VNC 或远程桌面连接 “RDP 到主机”. 但本文档解释了如何建立 VPN 连接本身, 因此，我们将点击链接 “激活 SSL-VPN 隧道模式”.