Fortigate 5.2 SSLVPN 設定

Fortigate 5.2 SSLVPN 設定紀錄

1.SSL VPN Split Tunnel & SSL VPN Route All Traffic (disable split tunnel)介紹
2.建立使用者
3.建立群組
4.設定SSLVPN Config
5.設定SSLVPN防火牆規則
6.測試登入
7.關閉SSLv3
8.整合Two Factor Authentication

1.SSL VPN Split Tunnel & Route All Traffic (disable split tunnel)介紹

Split Tunnel

18

Route All Traffic
19
2.建立使用者

User Name Group Name
User1 Split tunneling
User2 Route all traffic
User & Device → User Definition → Create New

 

 
選擇Local User 後點選Next
10
建立使用者名稱以及密碼,完成後點選Next
11

Email 若不填入,直接點選Next

 
 
 
 
 
 
 
 
 
 
 
 
 

3.建立群組
User & Device   User Groups   Create New
Members 填入user1 & user2
13
 
4.設定SSLVPN Config

      VPN   SSL   Portals   Create New  Split-tunnel-access
Enable Split Tunneling:Client 上網時,仍然使用自己的內部Gateway來做路由
14VPN   SSL   Portals   Create New  Route-all-traffic-access     

Disable Split Tunneling:Client 上網時,使用遠端Gateway來做路由15

VPN   SSL   Settings
Connection Settings
a. 通常是WAN Interface 開啟,這邊在注意一下哪一個WAN需要開啟SSLVPN服務
b. 注意SSLVPN Port & 是否允許所有IP皆可存取
c. 使用的憑證是否使用預設

 

 

 

 

 

Tunnel Mode Client Settings & Authentication
a.可使用FG預設的Tunnel Range (要注意這段是否有與你的內網IP重複)
b.把剛剛建立的SSLVPN Group加入到portal上16

5.設定SSLVPN防火牆規則
Policy & Objects   Policy   IPv4

Incoming Interface
ssl.root
Source Address
SSLVPN_Tunnel_Addr1
SourceUser(s)
split tunneling
Outgoing Interface
Internal
Destination Address
內部網段
16
Incoming Interface ssl.root
Source Address SSLVPN_Tunnel_Addr1
SourceUser(s) Route all traffic
Outgoing Interface WAN2
Destination Address Any

17

6.測試登入

 
登入後,點選 Click here to download and install the plugin.

 

 

 

 

 

 

 

進行安裝 測試登入

7.關閉SSLv3
FortiOS 5.2 SSLVPN 預設是開啟SSLv3,為了增加安全性關閉SSLv3

#config vpn ssl settings
(settings) # get
部分輸出省略.....
reqclientcert : disable 
sslv2 : disable 
sslv3 : enable 
tlsv1-0 : enable 
tlsv1-1 : enable 
tlsv1-2 : enable 
ssl-big-buffer : disable 
ssl-insert-empty-fragment: enable 
ssl-client-renegotiation: disable 
force-two-factor-auth: disable 
servercert : SSLVPN 
algorithm : default

(settings) #  set sslv3 disable
(settings) # end

8.整合Two Factor Authentication
Foritgate 預設有兩組Fortitoken,整合Fortitoken 方式如下:
a.設定發信主機
b.設定帳戶整合Fortitoken
c.測試登入
a.設定發信主機
System   Config   Advanced
官方提供了發信主機 notification.fortinet.net,發送信件時,選擇starttls 加密送信

b.設定帳戶整合Fortitoken
填入Email Address
開啟Two-Factor Authentication 選擇Fortitoken,點選OK後再次進入使用者帳戶

發送兩次驗證信件

選擇Email發送

收到信件後,可透過匯入Activation Code 或者直接掃描QR code 來取得 Fortitoken

c.測試登入
手機上下載Fortitoken

開啟Fortitoken APP後,點選+符號

選擇Scan QR Code

掃描完成後,可取得兩次驗證密碼

Refer: http://cookbook.fortinet.com/ssl-vpn-for-remote-users/
https://forum.fortinet.com/tm.aspx?m=109791

Facebook Comments