FortiGate SSL ×××分为Web模式和隧道模式两种,Web模式具有一定局限性,且隧道模式同样可以使用Web方式访问,所以这里只介绍隧道模式的配置
实验设备:FortiGate 50B
实验环境:远程设备(10.0.1.0/24)通过SSL ×××拨入FortiGate 50B,分配到ssl***地址池的地址(192.168.10.0/24),然后通过虚拟出的ssl.root接口访问到服务器所连接的接口(192.168.100.0)
配置步骤:
1)建立地址池
2)指定SSL ×××地址池,启动SSL ×××
3)配置SSL×××界面
4)新建用户和用户组,指定用户组访问的SSL×××界面
5)指定静态路由到SSL×××地址池
6)添加策略
1. 建立地址池
新建SSL ×××拨入后为客户端分配的地址池:ssl***_address(192.168.10.0/24)
新建需要被访问的服务器的地址池:Server(192.168.100.0/24)
2. 启用SSL×××,指定SSL×××为拨入客户端分配的地址池:ssl***_address
3. 配置SSL ×××界面
新建SSL ×××界面:ssl***_interface(也可以使用默认已有界面),然后在应用中选择需要使用的协议
增加Tunnel Mode部件,选择IP池为ssl***_address,默认勾选通道分割功能(通道分割也就是实现×××通道和正常使用网络通道的分隔,只有需要访问×××数据时才通过×××通道,其它数据访问还是走之前正常的数据通道);
每个部件配置完成后需要点击左上角“确定”按钮,整体的界面配置完毕后点击SSL ×××界面配置左上角的OK
4. 新建用户和用户组,指定用户组访问的SSL×××界面
新建用户ssl***1
新建用户组ssl***_users,将刚创建的用户ssl***1加入到该用户组,并允许此用户组接入到我们刚刚创建的SSL ×××界面:ssl***_interface
5. 指定到SSL×××地址池的静态路由
SSL ×××启用后会虚拟出一个接口ssl.root,远程×××拨入后相当于拨入到ssl.root接口,所以我们需要为FortiGate指出ssl.root所连接的网段,目的地址:192.168.10.0/24
通过接口:ssl.root
网关:留空
6. 添加策略
1)添加外网拨入内网策略
2)添加客户端拨入到内网ssl.root之后再到服务器所连接Internal口策略
远程客户端从外网拨入internal接口策略:
源接口:WAN 地址:all(也可以具体指定为远程客户端所在段)
目的接口:internal 地址:Server
动作:SSL×××
然后点击添加,添加拨入时验证的用户组:ssl***_users
添加完第一条策略后,远程客户端已经可以拨入到ssl.root,并获取地址
SSL ×××默认端口为:10443
测试从web页面登录
测试从SSL ×××客户端登陆
这里可以看出SSL ×××已经为远程客户端分配了ssl***_address地址池内的地址,但我们ping服务器端地址时仍然不通
添加远程客户端拨入后,通过ssl.root接口访问服务器所连internal接口策略:
源接口:ssl***隧道接口 源地址:ssl***_address
目的接口:internal 目的地址:Server
动作:Accept
这时再测试到服务器已经连通了
Web界面登陆后也可以连通服务器
最后贴一张所做策略的截图
转载于:https://blog.51cto.com/leihenzhimu/1198908