【简介】经常有人问可不可以通过SSL VPN到达某个防火墙，再通过防火墙与防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的！为了做到这个功能，我们先要一步一步学习怎样配置SSL VPN。

---

配置环境

　　我们在广州有一台FortiGate 200D防火墙，需要通过SSL VPN远程访问防火墙后的电脑。

 

 

　　① 通过SSL VPN，我们可以远程连接防火墙，并访问防火墙后面的内网。

 　　② 广州防火墙型号为200D，内网接在Port1口，内网接口IP为172.16.1.1，宽带接在wan1口。

地址对象

　　在配置之前，我们需要定义将要访问的地址对象，以及SSL VPN拨号后生成的地址对象。

 　　① 选择菜单【策略&对象】-【地址】。点击【新建】-【地址】。

　　② 新建一个允许访问的地址对象。这里设置为200D的内网接口。

 　　③ FortiGate防火墙有一个默认的SSL VPN隧道地址对象SSLVPN_TUNNEL_ADDR1，地址为不常用地址段，目的是不和内网地址冲突。我们可以直接使用这个地址对象，也可以修改地址对象的地址范围。当然也可以新建一个地址对象。定义一个不和内网地址冲突又好记得地址。

用户及用户组

　　SSL VPN远程登录防火墙，需要验证用户及密码，因此需要在防火墙上配置用户，当用户数量比较多的时候，需要用到用户组。

 　　① 选择菜单【用户&设备】-【用户组】，点击【新建】。

  　　② 输入用户组名称，点击添加成员，如果里没有可用的成员，点击【加号】新建用户。

   　　③ 点击【用户】。

   　　④ 默认为本地用户，点击【下一个】。

　　⑤ 输入用户名和密码，点击【下一个】。

　　⑥ 邮件地址可以不输入，SMS和双因子认证保持默点的关闭，点击【下一个】。

　　⑦ 用户帐户状态默认是【已启动】，其它保持默认，点击【提交】。

    　　⑧ 点击新建的用户，加入到成员中。可以反复新建或添加多个用户。

   　　⑨ 这样一个含有用户的用户组就创建好了。

SSL VPN 门户

　　SSL VPN访问的方式有两种，一种是Web页面访问，一种是隧道访问。

　　① 选择菜单【虚拟专网】-【SSL-VPN 门户】，可以看到有三个访问门户，分别是网页访问、隧道访问和全访问，一般我们会选择两种方式都可以访问，点击【full-access】，点击【编辑】。

 　　② 在隧道模式设置中，有个启用隧道分割选项，如果不选择，则表示SSL VPN连接成功后，所有的数据都会走隧道，包括上网数据，就会使得SSL VPN连接后本地电脑上不了网，除非是指定了走远程防火墙上网。如果启用【启用隧道分割】，就需要选择输入SSL VPN允许访问的IP地址段，这里我们选择输入开始建立的内网接口地址，表示允许访问防火墙的172.16.1.0/24网段。源IP池默认为地址对象SSLVPN_TUNNEL_ADDR1，这里我们修改为前面建立的自定义的SSL VPN地址对象。

 　　③ Web模式平时用得比较少，这里暂时不做设置。

SSL VPN 设置

　　门户设置完后，就可以设置 SSL VPN了。

　　① 选择菜单【虚拟专网】-【SSL-VPN 设置】。

 　　② 监听接口就是宽带的接口，如果有多条宽带，也可以选择多个接口，也就是说从任一条宽带接口都可以拨入。我们知道防火墙的管理端口也是443，因此SSL VPN端口也是443的话会引出冲突，建议修改SSL VPN端口，通常改为8443或10443。如果不改会怎么样呢？那么每次用https打开的都是SSL VPN的Web登录界面，防火墙的登录界面就打不了。

　　③ 重定向HTTP到SSL-VPN默认是不启用的，说明Web登录SSL VPN时必须输入HTTPS，而HTTP无效。当然有的人不习惯用HTTPS，这个选项就可以启用，会自动从HTTP重定向到HTTPS。限制访问我们通常会选择【允许从任何主机接入】，当然也可以指定某个IP址才能访问。空闲登出表示当SSL VPN隧道里没有数据时多长时间时会自动断开，如果需要长时间连接的话，这里不要启用。

 　　④ 飞塔防火墙都自带SSL VPN证书，因此不再需要其它证书，【需要客户端证书】不要启用，否则客户端登录时会提示需要证书。

 　　⑤ 在指定自定义IP范围里，选择在门户里设置相同的自建SSL VPN地址对象，如果DNS需要改动的话，可以选择【指定】，输入SSL VPN连接成功能获得的DNS地址。

  　　⑥ 在〖认证/Portal映射〗点击【新建】。

  　　⑦ 在〖用户/组〗选择前面建立的SSL_VPN_Users组。

   　　⑧ 在〖用户/组〗选择前面设置过的full-access。

   　　⑨ 也可以建立多个组和多个门户，使得不同的人有不同的访问权限。这里还要设置〖全部其用户/组〗的门户，默认是没有的，设置为web-access就可以了。

   　　⑩ 点击【应用】后，SSL VPN配置完成，但是在最上端会出现提示，还需要建立策略。

SSL VPN 策略

　　可以在SSL-VPN配置里点击提示新建策略，也可以从菜单【策略&对象】-【IPv4策略】里新建策略。

 　　① 输入策略自定义名称，流入接口默认是SSL VPN的虚拟接口ssl.root，流出接口我选择需要允许远程访问的内网接口，源地址选择新建的SSL VPN地址对象。

 　　② 和其它策略不同，SSL VPN策略里关于虚拟接口的验证需要IP地址和用户同时验证通过，因此源地址除了选择IP地址对象外，还要选择用户组，这里我们选择SSL_VPN_Users。

 　　③ 目的地址选择允许SSL VPN用户访问的地址对象，服务选择ALL，由于直接访问的是内网接口的IP网段，这里NAT就不需要启用了，点击【确认】，策略就建好了。

Web 浏览器连接测试

　　要想知道SSL VPN是否配置成功，我们可以先用Web登录测试。

 　　① 由于这台FortiGate 200D已经设置了动态DDNS，因此我们用域名加端口号的方式打开SSL VPN登录页面，当然如果知道IP地址的也可以直接用IP地址。输入SSL_VPN_Users组里的用户及密码，点击【Login】。

 　　② 出来这个页面后，可以确认SSL VPN配置是成功的。当然，我们还需要使用FortiClient客户端来验证一下。可以通过页面上的链接来下载FortiClient。

FortiClient 客户端连接测试

　　FortiClient客户端的下载和安装这里就不详细描述了，直接从设置开始。

 　　① 启动FortiClient客户端软件，选择菜单【REMOTE ACCESS】，点击【配置VPN】。

 　　② 输入自定义的连接名，远程网关为防火墙的IP地址或动态域名，端口防火墙上已经改成了10443，因此这里是选择自定义，端口填10443，点击【保存】。

 　　③ 输入用户名和密码，点击【连接】。

　　④ 第一次连接会出现一个安全警报提示，点击【是】。

　　⑤ 连接成功，显示连接状态，我们看到获得的IP地址，就是新建SSL VPN地址对象里设置的地址。

 　　⑥ 在电脑的DOS状态下，用命令config/all查看网络配置，可以看到多出一个SSL VPN虚拟网卡，IP地址和DNS都是防火墙里设置的参数。

  　　⑦ 用route print命令查看电脑里的路由表，可以看到当访问172.16.1.0时走SSL VPN隧道。

   　　⑧ 最后Ping远程防火墙内网接口IP，可以Ping通，说明SSL VPN是连接成功的。

 

---