FortiGate SSL-VPN設定手順 のバックアップソース(No.2)

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• バックアップ を表示
• FortiGate SSL-VPN設定手順 へ行く。
  • 1 (2017-01-22 (日) 23:20:22)
  • 2 (2017-01-23 (月) 02:16:04)
  • 3 (2017-01-23 (月) 02:43:59)

目次~
#contents
*概要 [#n4393d12]
FortiGate 60 / 90DへのSSL VPNの設定手順。~

**環境情報 [#e7ccb66c]
本操作手順は以下の環境における設定内容。~

-機種~
|FortiGate 90D|v5.2.10,build 0742,161129(GA)|

*設定 [#h2906100]
**初期設定 [#cf4cf8ac]
[Setup Wizard]を使用して基礎的な設定は行う。~
SSL VPNの基礎となる設定も[Setup Wizard]に従って行う。~

**インターフェイスの設定 [#n7551694]
初期状態で設定されている[ハードウェアスイッチ]から、割り当てられたインターフェイスを外す作業が必要となる。~

-1. wan1にはインターネット接続の設定を行う~
~
-2. internal1をLAN側のゲートウェイとして設定を行う~
~
|エイリアス|任意の名称を設定|
|アドレッシングモード|''マニュアル''|
|IP/ネットワークマスク|''192.168.1.254/255.255.255.0''|
|管理アクセス|''PING''|
~
#ref(fortigate_19.jpg)~


**Firewallオブジェクトの定義 [#kaa3008f]
Firewallポリシーの設定に使用するアドレスの定義を行う。~

***SSL VPNクライアント側のアドレス定義 [#oc22fcbb]

-1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く~

-2. クライアント側のアドレスを定義する~
~
|名前|任意の名称を設定（''SSL-VPN_Client01''）|
|タイプ|''IP/ネットマスク''|
|サブネット/IP範囲|VPN Clientに割り当てるアドレスの範囲を指定（''172.26.1.0/255.255.255.0''）|
|インターフェイス|''any''|
~
#ref(fortigate_21.jpg)~


***LAN側のアドレス定義 [#g727adf4]
-1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く~

-2. LAN側のアドレスを定義する~
~
|名前|任意の名称を設定（''SSL-VPN_local-address''）|
|タイプ|''IP/ネットマスク''|
|サブネット/IP範囲|LAN側のアクセスを許可するアドレスの範囲を指定（''192.168.1.0/255.255.255.0''）|
|インターフェイス|LAN側のインターフェイスを指定（''internal1''）|
~
#ref(fortigate_16.jpg)~



**Firewallポリシー設定 [#w770c5df]

-1. [ポリシー&オブジェクト] → [ポリシー] → [Create New]を開く~

-2. SSL VPNの接続に対するFirewallポリシーを定義する~
~
|入力インターフェイス|''ssl.root(SSL VPN Interface''|
|送信元アドレス|''all''|
|送信元ユーザ|''SSL-VPN01''|
|出力インターフェイス|''internal1''|
|宛先アドレス|''SSL-VPN_local-address''|
|サービス|''ALL''|
|NAT有効|''有効''|
~
#ref(fortigate_18.jpg)~


**ユーザ設定 [#k222dedc]
***ユーザグループの定義 [#c4498400]
SSL VPN接続を行うユーザの権限制御に使用するグループを作成する。~
適切にグループを定義することによりユーザ毎にVPNポータルや付与するアドレスの切り替え、アクセス先の制御が可能となる。~

-1. [ユーザ&デバイス] → [ユーザ] → [ユーザグループ] → [Create New]を開く~

-2. ユーザグループを定義する~
~
|名前|''SSL-VPN01''|
|タイプ|''ファイアウォール''|
|メンバー|既に登録済みのユーザが存在する場合には選択する。|
~
#ref(fortigate_22.jpg)~


***ユーザの定義 [#dbac0ecd]
SSL VPN接続を行うユーザを作成する。~

-1. [ユーザ&デバイス] → [ユーザ] → [ユーザ定義] → [Create New]を開く~

-2. ユーザを定義する~
~
|ユーザ名|VPNポータルにログインするアカウント名を登録|
|無効|ユーザを無効に設定する場合にはチェックを入れる|
|パスワード|VPNポータルにログインする際のパスワードを登録|
|このユーザをグループへ追加|所属させるグループを選択する。|
~
#ref(fortigate_20.jpg)~


**SSL VPNポータルの定義 [#m3284c41]
SSL VPN接続の際に使用するポータルの定義を行う。~
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。~

-1. [VPN] → [SSL] → [ポータル] → [Create New]を開く~

-2. ポータルを定義する~
~
|トンネルモード有効|チェックを入れる|
|スプリットトンネリングを有効|チェックを入れる|
|ルーティングアドレス|VPN接続後にアクセスを許可するアドレスを指定する（''SSL-VPN_local-address''）|
|送信元IPプール|VPN接続時にクライアント側に払い出すアドレスを指定する（''SSL-VPN_Client01''）|
|Webモードを有効|Webポータル画面を使用する場合にはチェックを入れる|
|ポータルメッセージ|ポータル画面上に表示する任意のメッセージを定義する|
|テーマ|ポータルの色合いを調整。複数のポータルを定義する場合には色を変えておくと分かりやすい|
|ページレイアウト|ポータルのページの表示を方式を変更。縦長の画面（タブレットなど）を持つ機器では1枠モード、横長の画面（PCなど）を持つ機器では2枠モードが良いと思われる|
~
#ref(fortigate_23.jpg)~

#ref(fortigate_24.jpg)~

#ref(fortigate_25.jpg)~