image.png


1. 添加用户,之后点击确认

2.gif

输入用户名密码

3.gif

联系信息保持默认即可

4.gif

额外信息保持默认即可

5.gif


2. 添加用户组,并将我们之前定义好的test001用户加入到该组的成员,之后点击确认

6.gif


3. 定义SSL***用户需要访问的内网服务器网段(这里假设我们的内网地址段为192.168.1.0/24),之后点击确认

7.gif


4. 定义SSL***用户获取的地址(系统默认已经包含了这个地址命名和定义,可以根据实际网络情况自行定义其他的命名和地址段)

默认定义:SSL***_TUNNEL_ADDR1   10.212.134.200-100.212.134.210

8.gif


5. 定义SSL***默认的Portal,选择full-access

9.gif

然后按照下图进行配置,最后点击确认

启动隧道分割的目的是为了让远程拨号的用户在需要访问公司服务器内网资源的时候走SSL***隧道到公司内部,访问其他地址的时候直接从用户端本地上网进行访问,减少SSL***的流量负载

隧道地址:我们选择定义好的公司服务器地址段 192.168.1.0/24

源IP池:我们选择定义好的SSL***_TUNNEL_ADDR1,如果上面SSL***的地址我们自行定义的话,则选择我们实际定义的地址命名

10.gif


6. 定义SSL***的参数,选择SSL ***设置,然后按照下图进行配置,最后点击确认

11.gif


7. 定义SSL***的策略,之后点击确认即可

流入接口选择 ssl.root

流出接口选择 内网口

源地址选择 all   用户选择我们定义好的SSL***_GROUP

目的地址选择 192.168.1.0/24

12.gif


8. 定义SSL***地址段的路由条目,这里的目的地址是我们之前定义的SSL***_TUNNEL_ADDR1,如果之前我们自定义的该地址段的话,则根据实际我们定义的地址段进行填写,设备选择ssl.root

13.gif


9. 电脑安装飞塔的拨号客户端FortiClient,通过客户端软件进行拨号认证,文章结尾有客户端的下载链接

新建SSL***拨号

连接名,描述随便填

远程网关填写防火墙SSL***对应的公网IP

勾选自定义端口,并填写10443

其他选项保持默认并应用

14.gif


10. 应用后点击关闭的按钮,会跳转到输入用户名密码的界面,输入对应的密码后后点击连接的选项

15.gif


11. 在跳出证书提示后点击 “是” 的选项

16.gif


12.  拨通后可以看到连接时间及接收发送字节数

17.gif


13. 测试ping内网服务器,可以看到正常ping通

18.gif


附注:

Windows 32位 Forticlient:https://pan.baidu.com/s/1dy3Dls

Windows 64位 Forticlient:https://pan.baidu.com/s/1pMXUXS3