FortiGate SSL VPN 隧道模式配置 FortiGate SSL VPN 分为Web 模式和隧道模式两种,Web 模式具有一定局限性,且隧道模式同样可以使用 Web 方式访问,所以这里只介绍隧道模式的配置 实验设备:FortiGate 50B 实验环境:远程设备(10.0.1.0/24)通过 SSL VPN 拨入 FortiGate 50B,分配到 sslvpn地址池的地址(192.168.10.0/24),然后通过虚拟出的 ssl.root 接口访问到服务器所连接的接口(192.168.100.0) 配置步骤: 1)建立地址池 2)指定 SSL VPN 地址池,启动 SSL VPN 3)配置SSLVPN 界面 4)新建用户和用户组,指定用户组访问的 SSLVPN 界面 5)指定静态路由到 SSLVPN 地址池 6)添加策略 1. 建立地址池 新建 SSL VPN 拨入后为客户端分配的地址池:sslvpn_address(192.168.10.0/24) 新建需要被访问的服务器的地址池:Server(192.168.100.0/24) 2. 启用SSLVPN,指定SSLVPN 为拨入客户端分配的地址池:sslvpn_address 3. 配置SSL VPN 界面 新建SSL VPN 界面:sslvpn_interface(也可以使用默认已有界面),然后在应用中选择需要使用的协议 增加Tunnel Mode 部件,选择IP 池为sslvpn_address,默认勾选通道分割功能(通道分割也就是实现VPN 通道和正常使用网络通道的分隔,只有需要访问VPN 数据时才通过VPN 通道,其它数据访问还是走之前正常的数据通道); 每个部件配置完成后需要点击左上角“确定”按钮,整体的界面配置完毕后点击SSL VPN界面配置左上角的OK 4. 新建用户和用户组,指定用户组访问的SSLVPN 界面 新建用户 sslvpn1 新建用户组sslvpn_users,将刚创建的用户sslvpn1 加入到该用户组,并允许此用户组接入到我们刚刚创建的SSL VPN 界面:sslvpn_interface 5. 指定到SSLVPN 地址池的静态路由 SSL VPN 启用后会虚拟出一个接口 ssl.root,远程 VPN 拨入后相当于拨入到ssl.root 接口,所以我们需要为 FortiGate 指出ssl.root 所连接的网段,目的地址:192.168.10.0/24 通过接口:ssl.root 网关:留空 6. 添加策略 1)添加外网拨入内网策略 2)添加客户端拨入到内网ssl.root 之后再到服务器所连接Internal 口策略 远程客户端从外网拨入internal 接口策略: 源接口:WAN 地址:all(也可以具体指定为远程客户端所在段) 目的接口:internal 地址:Server 动作:SSLVPN 然后点击添加,添加拨入时验证的用户组:sslvpn_users 添加...
