FortiGate SSL ×××分为Web模式和隧道模式两种,Web模式具有一定局限性,且隧道模式同样可以使用Web方式访问,所以这里只介绍隧道模式的配置

实验设备:FortiGate 50B

实验环境:远程设备(10.0.1.0/24)通过SSL ×××拨入FortiGate 50B,分配到ssl***地址池的地址(192.168.10.0/24),然后通过虚拟出的ssl.root接口访问到服务器所连接的接口(192.168.100.0)

clip_image001

 

配置步骤:

1)建立地址池

2)指定SSL ×××地址池,启动SSL ×××

3)配置SSL×××界面

4)新建用户和用户组,指定用户组访问的SSL×××界面

5)指定静态路由到SSL×××地址池

6)添加策略

 

1. 建立地址池

新建SSL ×××拨入后为客户端分配的地址池:ssl***_address(192.168.10.0/24)

新建需要被访问的服务器的地址池:Server(192.168.100.0/24)

clip_image002

clip_image003

 

2. 启用SSL×××,指定SSL×××为拨入客户端分配的地址池:ssl***_address

clip_image004

 

3. 配置SSL ×××界面

新建SSL ×××界面:ssl***_interface(也可以使用默认已有界面),然后在应用中选择需要使用的协议

clip_image005

 

增加Tunnel Mode部件,选择IP池为ssl***_address,默认勾选通道分割功能(通道分割也就是实现×××通道和正常使用网络通道的分隔,只有需要访问×××数据时才通过×××通道,其它数据访问还是走之前正常的数据通道);

每个部件配置完成后需要点击左上角“确定”按钮,整体的界面配置完毕后点击SSL ×××界面配置左上角的OK

clip_image006

 

4. 新建用户和用户组,指定用户组访问的SSL×××界面

新建用户ssl***1

clip_image007

 

新建用户组ssl***_users,将刚创建的用户ssl***1加入到该用户组,并允许此用户组接入到我们刚刚创建的SSL ×××界面:ssl***_interface

clip_image008

 

5. 指定到SSL×××地址池的静态路由

SSL ×××启用后会虚拟出一个接口ssl.root,远程×××拨入后相当于拨入到ssl.root接口,所以我们需要为FortiGate指出ssl.root所连接的网段,目的地址:192.168.10.0/24

通过接口:ssl.root

网关:留空

clip_image009

 

6. 添加策略

1)添加外网拨入内网策略

2)添加客户端拨入到内网ssl.root之后再到服务器所连接Internal口策略

远程客户端从外网拨入internal接口策略:

源接口:WAN 地址:all(也可以具体指定为远程客户端所在段)

目的接口:internal 地址:Server

动作:SSL×××

然后点击添加,添加拨入时验证的用户组:ssl***_users

clip_image010

 

添加完第一条策略后,远程客户端已经可以拨入到ssl.root,并获取地址

SSL ×××默认端口为:10443

测试从web页面登录

clip_image011

 

测试从SSL ×××客户端登陆

clip_image012

 

这里可以看出SSL ×××已经为远程客户端分配了ssl***_address地址池内的地址,但我们ping服务器端地址时仍然不通

clip_image013

clip_image014

 

添加远程客户端拨入后,通过ssl.root接口访问服务器所连internal接口策略:

源接口:ssl***隧道接口 源地址:ssl***_address

目的接口:internal 目的地址:Server

动作:Accept

clip_image015

 

这时再测试到服务器已经连通了

clip_image016

 

Web界面登陆后也可以连通服务器

clip_image017

 

最后贴一张所做策略的截图

clip_image018