HOME | 預設分類 | fortigate開啟sslvpn功能

fortigate開啟sslvpn功能

2016/09/09/14:37 , Post in 預設分類 , 鎖定(0) , 引用(0) , 閱讀(5594) , Via 本站原創
我的fortigate版本是5.2,內部網路的IP是192.168.1.0/24

fortigate防火牆的wan public ip假設是1.164.135.24

現在的情境是在外部需要連線進入取得192.168.1.x的內部IP

可以訪問內網的設備,同時可以將1.164.135.24當作跳板,連線到其他ineternet

首先先啟用VPN的功能,在儀表板上有一個VPN把他調整到ON

接下來操作模式必須是NAT,如果使用透通的話就無法使用VPN了

接著把public IP綁到wan1上

系統管理->網路->介面->wan1
位址你可以選擇DHCP也可以自訂,看每個人網路環境

接下來先建立sslvpn的帳號以及群組

用戶與設備->用戶認證->建立一個新使用者


用戶與設備->用戶群組->建立一個sslvpn的群組
,同時把剛剛的使用者放進來

政策&物件->物件->位址 新增一段位址(vpnip)給VPN的使用者(192.168.1.200-192.168.1.210)


政策&物件->物件->位址 新增一段位址(local_lan)給內網(192.168.1.0/24)




接下來設定VPN的部分

VPN->SSL->門戶網站->full-access  將啟用切分隧道不要勾選


來源IP pools選擇vpnip

VPN->SSL->設定->full-access  將啟用切分隧道不要勾選


介面監聽可以選擇any,不過一般都是從外面播號進來,所以我選擇WAN1,port改為10443

IP範圍使用vpnip,認證/入口網對應新增sslvpn群組只用full-access,其他使用群組也使用full-access(共兩筆)

這樣VPN應該就啟用了,接著設定policy

如果要允許VPN使用者能夠訪問內網

ssl.root -> local_lan就需要啟用(記得NAT不要勾選,要不然全部VPN使用者都會帶一樣的IP)


如果要讓VPN把fortigate當作跳板,例如你人剛好在大陸想上個FB之類的

ssl.root -> wan1  就需要啟用


最後全部設定完成之後,請記得進入命令視窗輸入

config vpn ssl web protal

edit full-access

set host-check av

end


網路上找到的文件很像都沒這段,最後全部設定完成之後

https://1.164.135.24:10443應該可以看到登入畫面(但是無法用瀏覽器登入)

你就可以安裝forti client使用sslvpn了