SSL VPN

Создание группы пользователей

Для создания пользователей, которым будет предоставлен удалённый доступ и которые смогут воспользоваться технологией SSL VPN:

  1. Перейдите в поле User & Authentication → User Definition → Create New.
  2. Создайте локального пользователя, укажите имя пользователя и пароль, при необходимости контактную информацию.
  3. Объедините созданных пользователей в группу.
  4. Для создания группы пользователей перейдите в поле User & Authentication → User Groups → Create New.
  5. Укажите имя группы, тип Firewall и членов группы, созданных ранее.

Создание SSL VPN туннеля

Для создания SSL VPN туннеля:

  1. Перейдите в поле VPN → SSL-VPN Portal → Create New.
  2. Укажите название, включите Tunnel Mode.
  3. В поле Source IP Pools укажите пул адресов (IP Range), которые будут присваиваться удалённым пользователям. Можно добавить пул, созданный по умолчанию SSLVPN_TUNNEL_ADDR1, или собственный, настроенных аналогичным образом.

В настройках портала также можно включить проверки клиентов, ограничить определенные версии ОС и задать другие параметры подключения клиентов.

Split mode

Чтобы создать split tunnel, где трафик направляется только в назначенную сеть:

  1. Активируйте Enable Split Tunneling.
  2. Выберите Routing Address, чтобы определить сеть назначения, которая будет маршрутизироваться через туннель, то есть к этим адресам будет доступ у удалённых клиентов.
  3. Нажмите + и выберите адрес из существующих.
  4. Для создания адреса во всплывающем окне нажмите кнопку Create или в поле Policy & Objects → Addresses → Create New.

Full mode

Если необходим full mode tunnel, при котором весь трафик удалённых клиентов будет проходить через FortiGate, параметр Enable Split Tunneling нужно отключить.

Web mode

Другой настройкой является параметр Enable Web Mode, позволяющий включить режим web. Здесь можно также выбрать:

  • название портала (поле Portal Message);
  • оформление;
  • другие настройки.

Наибольший интерес представляет поле User Bookmarks — опция позволяет пользователям создавать свои закладки. В поле Predefined Bookmarks можно создавать закладки централизованно для всех пользователей. Например, можно создать закладку для подключения к удалённому рабочему столу по протоколу RDP. На этом настройка самого SSL Tunnel завершается.

Настройки общих параметров SSL VPN

Для настройки общих параметров SSL VPN:

  1. Перейдите в поле VPN → SSL-VPN Settings.
  2. Укажите “слушающий” интерфейс, то есть внешний интерфейс, на который будут приходить соединения от удаленных пользователей (в данном примере — wan1), и порт, по которому они будут подключаться. Обратите внимание! При определении порта, он может совпадать с другими, которые определены для административного доступа. Например, по умолчанию указывается 443, что может конфликтовать с HTTPS портом, при этом FortiGate выведет следующее сообщение:
  3. Укажите в параметре Restrict Access значение Allow access from any hosts или, при необходимости ограничить доступ, нажмите Limit access to specific hosts и предоставьте доступ конкретным хостам.
  4. Укажите период бездействия, после которого пользователь будет принудительно отключаться от VPN, включив параметр Idle Logout и определив значение в параметре Inactive For, по умолчанию это 300 секунд.
  5. Выберите сертификат для параметра Server Certificate. Этот сертификат используется для аутентификации и шифрования трафика SSL VPN. По умолчанию это встроенный Fortinet_Factory. Со встроенным сертификатом работа возможна, но пользователи увидят предупреждение, что сертификат некорректен, так как в хранилище сертификатов нет CA сертификата, который подписал текущий SSL сертификат. Рекомендуется приобрести сертификат для вашего сервера и загрузить его для аутентификации.

Добавление сертификата для аутентификации

Для добавления сертификата:

  1. Перейдите в раздел System → Certificates.
  2. Убедитесь, что в System → Feature Visibility включено Certificates.
  3. Выберите Import → Local Certificate.
  4. В появившемся окне установите Type — Certificate.
  5. Загрузите Certificate file и Key file для вашего сертификата и введите пароль в поле Password.
  6. Сертификат сервера появится в списке Certificates.
  7. Установите CA сертификат — это сертификат, который подписывает как сертификат сервера, так и сертификат пользователя, например, для аутентификации пользователей SSL VPN. Для этого в разделе System → Certificates выберите Import → CA Certificate.
  8. В появившемся окне установите Type — File и загрузите файл сертификата.
  9. CA сертификат появится в списке External CA Certificates.
  10. Настройте пользователей PKI и группу пользователей, чтобы использовать аутентификацию по сертификату, для чего используйте CLI для создания пользователей PKI:

    config user peer
    edit pki01
        set ca CA_Cert_Name
        set subject User_Name
    next
    end
  11. Убедитесь, что subject совпадает с именем пользователя сертификата. Когда вы создаете пользователя PKI, в графический интерфейс добавляется новое меню, где можно продолжить настройки.

  12. Перейдите в User & Authentication → PKI, чтобы выделить нового пользователя.

  13. Нажмите Edit, чтобы отредактировать учетную запись пользователя и установить Two-factor authentication.

  14. Проследите, чтобы данный пользователь был в группе пользователей для SSL VPN, созданной ранее (см. пункт Создание группы пользователей).

Также можно проверять сертификаты удаленных пользователей, включив параметр Require Client Certificate. В разделе Authentication/Portal Mapping необходимо сопоставить SSL портал с группой пользователей. По умолчанию все пользователи имеют доступ в одинаковые порталы. Данная таблица позволяет сопоставлять разные порталы разным группам пользователей. Создайте новую запись в таблице, нажав Create New и определив портал и группу пользователей. После настройки нажмите Apply и приступайте к созданию политики безопасности.

Настройка политики

Для того, чтобы пользователи успешно подключались к нашему VPN и имели необходимый доступ, нужно создать политику, разрешающую доступ из интерфейса ssl.root в интерфейс локальной сети:

  1. Перейдите в поле Policy & Objects → Firewall Policy → Create New.
  2. Укажите имя политики, в качестве входящего интерфейса должен быть SSL-VPN tunnel interface(ssl.root).
  3. Выберите исходящий интерфейс, в данном случае это внутренний интерфейс lan.
  4. В поле Source выберите созданную ранее группу пользователей, в данном случае это SSLVPNGROUP, и адресный объект all.
  5. В поле Destination выберите необходимую локальную сеть.
  6. Укажите необходимые сервисы и сохраните политику.

Настройка FortiClient

Клиент FortiNet FortiClient можно бесплатно скачать на официальном сайте. FortiClient совместим со множеством платформ, на каждой из которой доступно бесплатное использование SSL VPN. Для клиента также можно приобрести лицензию, которая предоставляет дополнительные возможности и техническую поддержку. С особенностями использования и совместимости можно ознакомиться также на официальном сайте в разделе Technical Specification.

Для настройки подключения на клиенте:

  1. Перейдите в раздел REMOTE ACCESS и выберите SSL-VPN.
  2. Укажите имя подключения, IP адрес FortiGate, порт, по которому подключается клиент (его настраивали в пункте Настройки общих параметров SSL VPN).
  3. При необходимости выберите сертификаты и параметры аутентификации (либо запрашивать логин и пароль при каждом подключении, либо сохранить логин).
  4. Сохраните данное подключение.
  5. Попробуйте подключиться, указав имя подключения, имя пользователя и пароль.
  6. При успешном подключение должно появится следующее окно:

Если ранее у SSL-портала был разрешён web mode, то подключиться можно как с помощью браузера, так и использовать созданную закладку без использования FortiClient:

  1. Введите в адресной строке адрес вашего FortiGate и порт, по которому доступно подключение (см. в пункте Настройки общих параметров SSL VPN).
  2. Авторизуйтесь, введя имя пользователя и пароль.
  3. При успешном подключении появится следующее окно, где можно увидеть нашу закладку.