FortiGate SSL-VPN設定手順

目次

概要 †

FortiGate 60 / 90DへのSSL VPNの設定手順。

環境情報 †

本操作手順は以下の環境における設定内容。

• 機種
  

  FortiGate 90D

  v5.2.10,build 0742,161129(GA)

設定 †

初期設定 †

[Setup Wizard]を使用して基礎的な設定は行う。
SSL VPNの基礎となる設定も[Setup Wizard]に従って行う。

インターフェイスの設定 †

初期状態で設定されている[ハードウェアスイッチ]から、割り当てられたインターフェイスを外す作業が必要となる。

• 1. wan1にはインターネット接続の設定を行う
  
  
• 2. internal1をLAN側のゲートウェイとして設定を行う
  
  

  エイリアス	任意の名称を設定
  アドレッシングモード	マニュアル
  IP/ネットワークマスク	192.168.1.254/255.255.255.0
  管理アクセス	PING

  
  
  

Firewallオブジェクトの定義 †

Firewallポリシーの設定に使用するアドレスの定義を行う。

SSL VPNクライアント側のアドレス定義 †

• 1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く
  

• 2. クライアント側のアドレスを定義する
  
  

  名前	任意の名称を設定（SSL-VPN_Client01）
  タイプ	IP/ネットマスク
  サブネット/IP範囲	VPN Clientに割り当てるアドレスの範囲を指定（172.26.1.0/255.255.255.0）
  インターフェイス	any

  
  
  

LAN側のアドレス定義 †

• 1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く
  

• 2. LAN側のアドレスを定義する
  
  

  名前	任意の名称を設定（SSL-VPN_local-address）
  タイプ	IP/ネットマスク
  サブネット/IP範囲	LAN側のアクセスを許可するアドレスの範囲を指定（192.168.1.0/255.255.255.0）
  インターフェイス	LAN側のインターフェイスを指定（internal1）

  
  
  

ユーザ設定 †

ユーザグループの定義 †

SSL VPN接続を行うユーザの権限制御に使用するグループを作成する。
適切にグループを定義することによりユーザ毎にVPNポータルや付与するアドレスの切り替え、アクセス先の制御が可能となる。

• 1. [ユーザ&デバイス] → [ユーザ] → [ユーザグループ] → [Create New]を開く
  

• 2. ユーザグループを定義する
  
  

  名前	SSL-VPN01
  タイプ	ファイアウォール
  メンバー	既に登録済みのユーザが存在する場合には選択する。

  
  
  

ユーザの定義 †

SSL VPN接続を行うユーザを作成する。

• 1. [ユーザ&デバイス] → [ユーザ] → [ユーザ定義] → [Create New]を開く
  

• 2. ユーザを定義する
  
  

  ユーザ名	VPNポータルにログインするアカウント名を登録
  無効	ユーザを無効に設定する場合にはチェックを入れる
  パスワード	VPNポータルにログインする際のパスワードを登録
  このユーザをグループへ追加	所属させるグループを選択する。

  
  
  

Firewallポリシー設定 †

• 1. [ポリシー&オブジェクト] → [ポリシー] → [Create New]を開く
  

• 2. SSL VPNの接続に対するFirewallポリシーを定義する
  
  

  入力インターフェイス	ssl.root(SSL VPN Interface
  送信元アドレス	all
  送信元ユーザ	SSL-VPN01
  出力インターフェイス	internal1
  宛先アドレス	SSL-VPN_local-address
  サービス	ALL
  NAT有効	有効

  
  
  

SSL VPNポータルの定義 †

ポータルの定義 †

SSL VPN接続の際に使用するポータルの定義を行う。
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。

• 1. [VPN] → [SSL] → [ポータル] → [Create New]を開く
  

• 2. ポータルを定義する
  
  

  トンネルモード有効	チェックを入れる
  スプリットトンネリングを有効	チェックを入れる
  ルーティングアドレス	VPN接続後にアクセスを許可するアドレスを指定する（SSL-VPN_local-address）
  送信元IPプール	VPN接続時にクライアント側に払い出すアドレスを指定する（SSL-VPN_Client01）
  Webモードを有効	Webポータル画面を使用する場合にはチェックを入れる
  ポータルメッセージ	ポータル画面上に表示する任意のメッセージを定義する
  テーマ	ポータルの色合いを調整。複数のポータルを定義する場合には色を変えておくと分かりやすい
  ページレイアウト	ポータルのページの表示を方式を変更。縦長の画面（タブレットなど）を持つ機器では1枠モード、横長の画面（PCなど）を持つ機器では2枠モードが良いと思われる

  
  
  

ポータルの動作設定 †

SSL VPN接続の際に使用するポータルの定義を行う。
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。

• 1. [VPN] → [SSL] → [設定]を開く
  

• 2. ポータルの動作条件を定義する
  
  
  • 接続設定 ポータルの動作状態を定義。
    

    Listenするインターフェース	接続元となるインターフェイスを指定（wan1）
    Listenするポート	SSL VPNポータルのポート番号を指定する。FortiGateの管理画面はHTTPSを使用しているため、同一のポートでは競合するために注意が必要。（通常はインターネット側から管理画面にアクセスするため、HTTPSを指定しても問題はない）
    アクセスを制限	アクセス元のホストを制限する場合には設定を入れる
    アイドル ログアウト	自動ログアウトの設定

    
    
  • トンネルモード クライアント設定
    クライアント側に割り当てるアドレスの定義。
    

    アドレス範囲	クライアント側へのアドレスの割り当て方法を設定
    IP範囲	Firewallオブジェクトとして定義したクライアントアドレスを指定する。（SSL-VPN01_Client01）
    DNSサーバ	クライアントに付与するDNSの指定

    
    
  • 認証/ポータルマッピング
    ユーザグループとポータルのマッピングの定義。
    

    ユーザ/グループ	ユーザ設定で定義したユーザ又はグループを指定
    ポータル	割り当てるポータルを指定

    
    
    

ユーザ毎に複数のポータルを定義 †

ユーザ毎に接続先を制限する場合には「認証/ポータルマッピング」にて複数の組み合わせを定義することで実現する。

• 認証/ポータルマッピング