Este é um exemplo de configuração de usuários remotos que acessam a rede corporativa por meio de uma VPN SSL no modo web usando um navegador da web.
Configuração de amostra
A interface WAN é a interface conectada ao ISP. Este exemplo mostra o modo estático. Você também pode usar o modo DHCP ou PPPoE. A conexão SSL VPN é estabelecida pela interface WAN.
Para configurar SSL VPN usando a GUI:
1. Configure a interface e o endereço do firewall. A interface port1 conecta-se à rede interna.
Vá para Network > Interfaces e edite a interface wan1 .
Defina IP/Network Mask para 172.20.120.123/255.255.255.0 .
Edite a interface port1 e defina a máscara de IP/Network Mask para 192.168.1.99/255.255.255.0 .
Clique OK .
Vá para Policy & Objects> Address e crie um endereço para a sub-rede 192.168.1.0 da Internet .
2. Configure o usuário e o grupo de usuários.
Vá para User & Authentication > User Definition para criar um usuário local sslvpnuser1.
Vá para User & Authentication > User Groups de usuários para criar um grupo sslvpngroup com o membro sslvpnuser1 .
3. Configure o portal da web SSL VPN.
Vá para VPN > SSL-VPN Portals para criar um portal em modo web somente my-web-portal.
Defina Predefined Bookmarks for Windows server para digitar RDP .
4. Defina as configurações de SSL VPN.
Vá para VPN > SSL-VPN Settings .
Para Listen on Interface(s), selecione wan1 .
Defina Listen on Port como 10443 .
Escolha um certificado em Server Certificate .
Em Authentication/Portal MappingAll Other Users/Groups, defina o portal para acesso à web .
Criar uma nova Authentication/Portal Mapping para o grupo sslvpngroup mapeamento portal em my-Web-portal.
É ALTAMENTE recomendado que você adquira um certificado assinado para sua instalação. Reveja as melhores práticas de SSL VPN e aprenda como comprar e importar um certificado SSL assinado .
5. Configure a política de firewall SSL VPN.
Vá para Policy & Objects > Firewall Policy .
Preencha o nome da política de firewall. Neste exemplo, acesso ao modo web sslvpn .
A interface de entrada deve ser uma interface de túnel SSL-VPN (ssl.root) .
Escolha uma interface de saída . Neste exemplo, port1.
Defina Source como all e group como sslvpngroup .
Neste exemplo, o destino e a sub-rede interna protegida 192.168.1.0 .
Defina Schedule para sempre, Service para ALL e Action para Accept.
Clique OK .
Para configurar SSL VPN usando o CLI:
1. Configure a interface e o endereço do firewall.
interface do sistema de configuração
editar "wan1"
definir vdom "root"
definir ip 172.20.120.123 255.255.255.0
Próximo
fim
2. Configure a interface interna e a sub-rede protegida e, a seguir, conecte a interface port1 à rede interna.
interface do sistema de configuração
editar "port1"
definir vdom "root"
definir ip 192.168.1.99 255.255.255.0
Próximo
fim
config firewall endereço
editar "192.168.1.0"
definir sub-rede 192.168.1.0 255.255.255.0
Próximo
fim
3. Configure o usuário e o grupo de usuários.
config usuário local
editar "sslvpnuser1"
definir tipo de senha
definir passwd sua-senha
Próximo
fim
configurar grupo de usuários
editar "sslvpngroup"
definir membro "vpnuser1"
Próximo
fim
4. Configure o portal da web SSL VPN e predefina o marcador RDP para o servidor Windows.
config vpn ssl portal da web
editar "my-web-portal"
definir modo web habilitado
config bookmark-group
editar "gui-bookmarks"
favoritos de configuração
editar "Windows Server"
definir apptype rdp
definir host "192.168.1.114"
definir porta 3389
definir usuário de logon "nome de usuário do servidor do Windows"
definir senha de logon sua senha de servidor do Windows
Próximo
fim
Próximo
fim
Próximo
fim
5. Defina as configurações de SSL VPN.
config vpn ssl settings
definir servercert "Fortinet_Factory"
definir pools de ip de túnel "SSLVPN_TUNNEL_ADDR1"
definir tunnel-ipv6-pools "SSLVPN_TUNNEL_IPv6_ADDR1"
definir interface de origem "wan1"
definir endereço-fonte "todos"
definir endereço-fonte 6 "todos"
definir portal padrão "acesso total"
regra de autenticação de configuração
editar 1
definir grupos "sslvpngroup"
definir portal "my-web-portal"
Próximo
fim
fim
6. Configure uma política de firewall SSL VPN para permitir que o usuário remoto acesse a rede interna. O tráfego é descartado do cliente interno para o remoto.
política de configuração de firewall
editar 1
definir o nome "acesso ao modo web sslvpn"
definir srcintf "ssl.root"
definir dstintf "port1"
definir srcaddr "all"
definir dstaddr "192.168.1.0"
definir grupos “sslvpngroup”
definir ação aceitar
definir cronograma "sempre"
definir serviço "TODOS"
Próximo
fim
Para ver os resultados:
Em um navegador da web, faça login no portal https://172.20.120.123:10443 usando as credenciais que você configurou.
No portal com o marcador predefinido, selecione o marcador para iniciar uma sessão RDP. Se não houver marcadores predefinidos, a ferramenta Quick Connection pode ser usada; consulte a ferramenta Quick Connection para obter mais informações.
Vá para VPN > Monitor > SSL-VPN Monitor para verificar a lista de usuários SSL.
Vá para Log & Report > Forward Traffic para visualizar os detalhes da entrada SSL
Fonte: https://docs.fortinet.com/
Comments