Fotigate 4.0 MR3 SSLVPN 設定

Fortigate 4.0 MR3 SSLVPN設定比較繁瑣(比SonicWALL麻煩多了)把設定的方式記錄下來

(Note: Fortigate 5.0 SSLVPN設定簡單，下次有機會可以分享設定方法)

1. 設定SSLVPN Config

2. 設定SSLVPN Portal

3. 建立SSLVPN 使用者

4. 設定SSLVPN Client 路由表 & 防火牆規則

5. 測試登入

1. 設定SSLVPN Config

Firewall Objects >> Address >> Address

設定SSLVPN_TUNNEL_ADDR1 這是SSLVPN遠端連入的IP網段

SSLVPN 開始即結束 IP Range 10.168.1.200~10.168.1.210

VPN >> SSL >> Config

套用剛剛的 SSLVPN_TUNNEL_ADDR1 (Firewall Address Object)，其餘可使用預設參數

2. 設定SSLVPN Portal

VPN >> SSL >> Portal >> Edit full-access

設定 Tunnel Mode 帶入IP Pools並勾選Split Tunneling

選擇Split Tunneling	Client 上網時，仍然使用自己的內部Gateway來做路由
不選擇 Split Tunneling	Client 上網時，使用遠端Gateway來做路由

3. 建立SSLVPN 使用者

User >> User >> User >> Create New

User Name	test001
Password	password

建立SSLVPN 群組

User >> User Group >> User Group

4. 設定SSLVPN Client 路由表 & 防火牆規則

Router >> Static >> Static Route >> Create New

Destination IP / Mask	10.168.1.0/255.255.255.0
Device	ssl.root

Policy >> Policy >> Policy >> Create New WAN1 to Internal

(讓遠端使用者能登入SSLVPN Service)

Destination IP Address 如果不選擇 Split Tunneling 這邊需要選擇Any

Action 要注意是SSL-VPN

當Action 是SSLVPN，則必須要套入使用者群組，套入剛剛建立的sslvpn_group

Policy >> Policy >> Policy >> Create New ssl.root to Internal

(讓VPN允許存取內部網路)