Fortigate 5.2 SSLVPN 設定紀錄
1.SSL VPN Split Tunnel & SSL VPN Route All Traffic (disable split tunnel)介紹
2.建立使用者
3.建立群組
4.設定SSLVPN Config
5.設定SSLVPN防火牆規則
6.測試登入
7.關閉SSLv3
8.整合Two Factor Authentication
1.SSL VPN Split Tunnel & Route All Traffic (disable split tunnel)介紹
Split Tunnel
| User Name | Group Name |
| User1 | Split tunneling |
| User2 | Route all traffic |
Email 若不填入,直接點選Next
3.建立群組
User & Device → User Groups → Create New
Members 填入user1 & user2
VPN → SSL → Portals → Create New Split-tunnel-access
Enable Split Tunneling:Client 上網時,仍然使用自己的內部Gateway來做路由
VPN → SSL → Portals → Create New Route-all-traffic-access
Disable Split Tunneling:Client 上網時,使用遠端Gateway來做路由
VPN → SSL → Settings
Connection Settings
a. 通常是WAN Interface 開啟,這邊在注意一下哪一個WAN需要開啟SSLVPN服務
b. 注意SSLVPN Port & 是否允許所有IP皆可存取
c. 使用的憑證是否使用預設
Tunnel Mode Client Settings & Authentication
a.可使用FG預設的Tunnel Range (要注意這段是否有與你的內網IP重複)
b.把剛剛建立的SSLVPN Group加入到portal上
5.設定SSLVPN防火牆規則
Policy & Objects → Policy → IPv4
|
Incoming Interface
|
ssl.root
|
|
Source Address
|
SSLVPN_Tunnel_Addr1
|
|
SourceUser(s)
|
split tunneling
|
|
Outgoing Interface
|
Internal
|
|
Destination Address
|
內部網段
|
| Incoming Interface | ssl.root |
| Source Address | SSLVPN_Tunnel_Addr1 |
| SourceUser(s) | Route all traffic |
| Outgoing Interface | WAN2 |
| Destination Address | Any |
6.測試登入
進行安裝 測試登入
7.關閉SSLv3
FortiOS 5.2 SSLVPN 預設是開啟SSLv3,為了增加安全性關閉SSLv3
#config vpn ssl settings
(settings) # get
部分輸出省略.....
reqclientcert : disable
sslv2 : disable
sslv3 : enable
tlsv1-0 : enable
tlsv1-1 : enable
tlsv1-2 : enable
ssl-big-buffer : disable
ssl-insert-empty-fragment: enable
ssl-client-renegotiation: disable
force-two-factor-auth: disable
servercert : SSLVPN
algorithm : default
(settings) # set sslv3 disable
(settings) # end
8.整合Two Factor Authentication
Foritgate 預設有兩組Fortitoken,整合Fortitoken 方式如下:
a.設定發信主機
b.設定帳戶整合Fortitoken
c.測試登入
a.設定發信主機
System → Config → Advanced
官方提供了發信主機 notification.fortinet.net,發送信件時,選擇starttls 加密送信
b.設定帳戶整合Fortitoken
填入Email Address
開啟Two-Factor Authentication 選擇Fortitoken,點選OK後再次進入使用者帳戶
發送兩次驗證信件
選擇Email發送
收到信件後,可透過匯入Activation Code 或者直接掃描QR code 來取得 Fortitoken
c.測試登入
手機上下載Fortitoken
開啟Fortitoken APP後,點選+符號
選擇Scan QR Code
掃描完成後,可取得兩次驗證密碼
Refer: http://cookbook.fortinet.com/ssl-vpn-for-remote-users/
https://forum.fortinet.com/tm.aspx?m=109791