IPSec VPN

Создание группы пользователей

Для создания VPN туннеля через IPsec необходимо создать пользователей, которым будет предоставлен доступ, и объединить их в группу. Процесс создания пользователей и группы аналогичен предыдущему разделу.

IPSec Wizard

Для создания самого туннеля можно воспользоваться специальным помощником IPsec Wizard, предоставляющий необходимые шаблоны настройки:

  1. Перейдите в раздел VPN → IPsec Wizard.
  2. На этапе VPN Setup введите название туннеля.
  3. Выберите тип туннеля Remote Access и тип удаленного устройства Client-based и FortiClient, что говорит о том, что для подключения используется клиент FortiClient.
  4. Нажмите кнопку Next.
  5. На этапе Authentication укажите входящий интерфейс, на который будут приходить подключения (в данном случае это wan1).
  6. Выберите тип аутентификации: Pre-shared key или сертификат. В данном случае выбран секретный ключ и введено его значение в параметре Pre-shared key.
  7. Укажите группу пользователей, созданную в пункте 1, которым будет предоставлен доступ для подключений.
  8. На этапе Policy & Routing укажите локальный интерфейс в выпадающем меню, к которому будут подключаться удаленные клиенты.
  9. В параметре Local Address укажите подсеть, к которой будут иметь доступ пользователи. В данном случае выбран адресный объект all.
  10. Чтобы выбрать определенную подсеть, нажмите + и выберите адрес из существующих.
  11. Для создания адреса во всплывающем окне нажмите кнопку Create или в поле Policy & Objects → Addresses → Create New.
  12. В поле Client Address Range укажите пул адресов, который будет присваиваться удалённым клиентам при подключении.
  13. Проследите, чтобы эти адреса не совпадали с внутренней адресацией. Оставьте в Subnet Mask значение по умолчанию.
  14. Поле DNS Server позволяет выбрать DNS-сервер, которым будут пользоваться удаленные пользователи при подключению к туннелю. В данном случае выбран системный.
  15. Параметр Enable Split Tunnel позволяет предоставлять доступ пользователям только к определенным подсетям, а не пускать весь их трафик через FortiGate.
  16. Опция Allow Endpoint Registration позволяет получать различную информацию об удаленных точках, и на основании этой информации принимать решения (например? разрешать подключаться удаленной точке или нет).
  17. На этапе Client Options можно настроить клиентские опции: сохранение пароля, автоподключение и непрерывное подключение.

После проведённых действий создается туннель, и на экране появляется сводная информация о созданных помощником объектах.

Подключение FortiClient

Клиент FortiNet FortiClient можно бесплатно скачать на официальном сайте. FortiClient совместим со множеством платформ, на каждой из которой доступно бесплатное использование SSL VPN. Для клиента также можно приобрести лицензию, которая предоставляет дополнительные возможности и техническую поддержку. С особенностями использования и совместимости можно ознакомиться также на официальном сайте в разделе Technical Specification.

Для настройки подключения на клиенте от REMOTE ACCESS и выберите IPsec VPN:

  1. Укажите имя подключения, IP адрес FortiGate, выберите метод аутентификации. В данном случае выбран Pre-shared key и введено значение секретного ключа, как было настроено ранее.
  2. В поле Authentication выберите:
    • опцию Prompt on login, чтобы при каждом подключении FortiClient запрашивал имя пользователя и пароль;
    • опцию Save login, чтобы при каждом подключении запрашивался только пароль. В этом случае в поле Username необходимо вводить логин.
  3. Сохраните данное подключение.

После этого выберите название сохранённого подключения, введите имя пользователя, созданного в пункте 1, и его пароль, нажмите кнопку Connect. При успешном подключении появится следующее окно: