FortiGate SSL-VPN設定手順 のバックアップ(No.3)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- FortiGate SSL-VPN設定手順 へ行く。
- 1 (2017-01-22 (日) 23:20:22)
- 2 (2017-01-23 (月) 02:16:04)
- 3 (2017-01-23 (月) 02:43:59)
目次
概要 †
FortiGate 60 / 90DへのSSL VPNの設定手順。
環境情報 †
本操作手順は以下の環境における設定内容。
- 機種
FortiGate 90D v5.2.10,build 0742,161129(GA)
設定 †
初期設定 †
[Setup Wizard]を使用して基礎的な設定は行う。
SSL VPNの基礎となる設定も[Setup Wizard]に従って行う。
インターフェイスの設定 †
初期状態で設定されている[ハードウェアスイッチ]から、割り当てられたインターフェイスを外す作業が必要となる。
- 1. wan1にはインターネット接続の設定を行う
- 2. internal1をLAN側のゲートウェイとして設定を行う
エイリアス 任意の名称を設定 アドレッシングモード マニュアル IP/ネットワークマスク 192.168.1.254/255.255.255.0 管理アクセス PING
Firewallオブジェクトの定義 †
Firewallポリシーの設定に使用するアドレスの定義を行う。
SSL VPNクライアント側のアドレス定義 †
- 1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く
- 2. クライアント側のアドレスを定義する
名前 任意の名称を設定(SSL-VPN_Client01) タイプ IP/ネットマスク サブネット/IP範囲 VPN Clientに割り当てるアドレスの範囲を指定(172.26.1.0/255.255.255.0) インターフェイス any
LAN側のアドレス定義 †
- 1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く
- 2. LAN側のアドレスを定義する
名前 任意の名称を設定(SSL-VPN_local-address) タイプ IP/ネットマスク サブネット/IP範囲 LAN側のアクセスを許可するアドレスの範囲を指定(192.168.1.0/255.255.255.0) インターフェイス LAN側のインターフェイスを指定(internal1)
Firewallポリシー設定 †
- 1. [ポリシー&オブジェクト] → [ポリシー] → [Create New]を開く
- 2. SSL VPNの接続に対するFirewallポリシーを定義する
入力インターフェイス ssl.root(SSL VPN Interface 送信元アドレス all 送信元ユーザ SSL-VPN01 出力インターフェイス internal1 宛先アドレス SSL-VPN_local-address サービス ALL NAT有効 有効
ユーザ設定 †
ユーザグループの定義 †
SSL VPN接続を行うユーザの権限制御に使用するグループを作成する。
適切にグループを定義することによりユーザ毎にVPNポータルや付与するアドレスの切り替え、アクセス先の制御が可能となる。
- 1. [ユーザ&デバイス] → [ユーザ] → [ユーザグループ] → [Create New]を開く
- 2. ユーザグループを定義する
名前 SSL-VPN01 タイプ ファイアウォール メンバー 既に登録済みのユーザが存在する場合には選択する。
ユーザの定義 †
SSL VPN接続を行うユーザを作成する。
- 1. [ユーザ&デバイス] → [ユーザ] → [ユーザ定義] → [Create New]を開く
- 2. ユーザを定義する
ユーザ名 VPNポータルにログインするアカウント名を登録 無効 ユーザを無効に設定する場合にはチェックを入れる パスワード VPNポータルにログインする際のパスワードを登録 このユーザをグループへ追加 所属させるグループを選択する。
SSL VPNポータルの定義 †
ポータルの定義 †
SSL VPN接続の際に使用するポータルの定義を行う。
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。
- 1. [VPN] → [SSL] → [ポータル] → [Create New]を開く
- 2. ポータルを定義する
トンネルモード有効 チェックを入れる スプリットトンネリングを有効 チェックを入れる ルーティングアドレス VPN接続後にアクセスを許可するアドレスを指定する(SSL-VPN_local-address) 送信元IPプール VPN接続時にクライアント側に払い出すアドレスを指定する(SSL-VPN_Client01) Webモードを有効 Webポータル画面を使用する場合にはチェックを入れる ポータルメッセージ ポータル画面上に表示する任意のメッセージを定義する テーマ ポータルの色合いを調整。複数のポータルを定義する場合には色を変えておくと分かりやすい ページレイアウト ポータルのページの表示を方式を変更。縦長の画面(タブレットなど)を持つ機器では1枠モード、横長の画面(PCなど)を持つ機器では2枠モードが良いと思われる
ポータルの動作設定 †
SSL VPN接続の際に使用するポータルの定義を行う。
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。
- 1. [VPN] → [SSL] → [設定]を開く
- 2. ポータルの動作条件を定義する
- 接続設定
ポータルの動作状態を定義。
Listenするインターフェース 接続元となるインターフェイスを指定(wan1) Listenするポート SSL VPNポータルのポート番号を指定する。FortiGateの管理画面はHTTPSを使用しているため、同一のポートでは競合するために注意が必要。(通常はインターネット側から管理画面にアクセスするため、HTTPSを指定しても問題はない) アクセスを制限 アクセス元のホストを制限する場合には設定を入れる アイドル ログアウト 自動ログアウトの設定 - トンネルモード クライアント設定
クライアント側に割り当てるアドレスの定義。
アドレス範囲 クライアント側へのアドレスの割り当て方法を設定 IP範囲 Firewallオブジェクトとして定義したクライアントアドレスを指定する。(SSL-VPN01_Client01) DNSサーバ クライアントに付与するDNSの指定 - 認証/ポータルマッピング
ユーザグループとポータルのマッピングの定義。
ユーザ/グループ ユーザ設定で定義したユーザ又はグループを指定 ポータル 割り当てるポータルを指定
- 接続設定
ポータルの動作状態を定義。
ユーザ毎に複数のポータルを定義 †
ユーザ毎に接続先を制限する場合には「認証/ポータルマッピング」にて複数の組み合わせを定義することで実現する。
- 認証/ポータルマッピング