【简介】SSL VPN可以远程登录防火墙,访问防火墙后面内网的资源,是远程办公的得力工具。除了能访问防火墙内网资料外,也可以通过防火墙的宽带接口上网。
用户组与用户
SSL VPN登录防火墙时,需要输入用户名和密码以验证合法性。这就需要我们在防火墙上预先建立用户组和用户。
① 在防火墙上选择菜单【用户&设备】-【用户组】,点击【新建】,我们创建一个SSL VPN专用的用户组。
② 输入用户组名称,类型默认为防火墙,点击【确认】。
③ 用户组就建好了,但是新建的组里没有成员,下一步我们建立用户。
④ 选择菜单【用户&设备】-【设置用户】,点击【新建】,我们创建一个SSL VPN专用的用户。
⑤ 用户类型默认为本地用户,点击【下一个】。
⑥ 输入新建的用户名及密码,点击【下一个】。
⑦ 邮件地址、SMS、双因子认证都保持默认设置,点击【下一个】。
⑧ 启用用户组,选择刚才建立的SSL VPN专用用户组,点击【提交】。
⑨ 一个用户就建好了,可以根据需要建立多个用户,都加入专用组中。
SSL VPN 设置
SSL VPN设置需要经过三个过程,首先是设置SSL VPN门户,然后是SSL VPN设置,最后是建立SSL VPN策略。
① 选择菜单【虚拟专网】-【SSL-VPN门户】,默认有三个门户,鼠标双击【full-access】,表示可以同时用web和隧道两种方式登录。
② 通常我们保持所有默认设置就可以了,隧道模式下的〖启用隧道分割〗选项,不启用的话,所有流量都走隧道,启用的话,只有指定IP网段会走隧道。这里我们不启用隧道分割,让所有流量都走隧道,包括上网流量。系统预先建好一段不常用的地址段,用来给拨号成功后分配IP地址。
③ 选择菜单【虚拟专网】-【SSL-VPN设置】,监听接口选择防火墙的宽带接口,如果有多条宽带的话,也可以选择多个接口。监听端口默认为443,由于与防火墙的登录端口有冲突,这里改成8443,在客户端软件里要输入这个端口号。允许从任何主机接入,选择自动分配置地址,也就是门户里那个地址对象的内容。指定DNS,在认证/Portal映射中加入新建的用户组,指定用户组使用full-access门户,其它用户使用web-access门户。
④ 选择菜单【策略&对象】-【新建】,新建允许SSL VPN访问策略。
⑤ 建立一条允许SSL VPN访问内网的策略,源地址里选择预定义的地址对象和用户组,对SSL VPN进行安全验证。NAT不启用。
⑥ 再建立一条允许SSL VPN通过Wan口上网的策略。NAT启用。
⑦ SSL VPN拨通后,所有的流量都会走隧道,这两条策略,引导访问内网或走外网出去。
FortiClient 设置
飞塔防火墙使用FortiClient客户端软件连接SSL VPN,该软件有Windows、MAC、安卓、iOS等版本。
① 尽量使用与防火墙固件相同的FortiClient版本,我们将以6.0.1版本的FortiClient为例。
② 选择【REMOTE ACCESS】,点击【配置VPN】。
③ 默认选择为SSL-VPN,输入连接名,远程网关为防火墙的外网接口地址,自定义端口,端口号和防火墙里的设置相同,这里是8443。其它保持默认,点击【保存】。
④ 输入防火墙里建立的用户名和密码,点击【连接】。
⑤ 出现安全警报提示,点击【是】。
⑥ 当出现IP地址及接收发送字节数时,表示SSL-VPN连接成功。
SSL VPN 验证
SSL VPN连接成功后,就可以通过VPN访问对方内网IP,也可以通过VPN走对方宽带上网了。
① 在DOS命令下输入 ipconfig/all 命令,查看电脑的IP配置情况,可以看到有一块虚拟网卡,获得了IP地址和网关及DNS。DNS采用8.8.8.8的话,可以解析原来访问不了的网站。
② 在DOS命令下输入 route print 命令,查看本机电脑上的路由表,其中有一条默认路由就是走SSL VPN接口,优先于本地宽带接口。
③ Ping远程防火墙的内网接口地址,能够Ping通,说里防火墙里的那条SSL VPN访问内网策略是起作用的。
④ 用浏览器访问以前本地宽带打开不了的网站,发现现在能打开了,说明防火墙上的SSL VPN访问宽带策略也起作用了。
⑤ 回到防火墙上,选择菜单【监视器】-【SSL-VPN监视器】,可以看到已经有一个用户通过SSL VPN连接到防火墙了。
飞塔技术 - 老梅子 QQ:57389522