FortiGate SSL-VPN設定手順 - Knowlege Database

[ トップ ] [ 編集 | 凍結 | 差分 | 履歴 | 添付 | リロード ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

目次

概要
- 環境情報
設定

概要†

FortiGate 60 / 90DへのSSL VPNの設定手順。

環境情報†

本操作手順は以下の環境における設定内容。

機種

FortiGate 90D v5.2.10,build 0742,161129(GA)

設定†

初期設定†

[Setup Wizard]を使用して基礎的な設定は行う。
SSL VPNの基礎となる設定も[Setup Wizard]に従って行う。

インターフェイスの設定†

初期状態で設定されている[ハードウェアスイッチ]から、割り当てられたインターフェイスを外す作業が必要となる。

1. wan1にはインターネット接続の設定を行う
2. internal1をLAN側のゲートウェイとして設定を行う

エイリアス任意の名称を設定

アドレッシングモード マニュアル

IP/ネットワークマスク 192.168.1.254/255.255.255.0

管理アクセス PING

Firewallオブジェクトの定義†

Firewallポリシーの設定に使用するアドレスの定義を行う。

SSL VPNクライアント側のアドレス定義†

1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く

2. クライアント側のアドレスを定義する

名前	任意の名称を設定（SSL-VPN_Client01）
タイプ	IP/ネットマスク
サブネット/IP範囲	VPN Clientに割り当てるアドレスの範囲を指定（172.26.1.0/255.255.255.0）
インターフェイス	any

LAN側のアドレス定義†

1. [ポリシー&オブジェクト] → [オブジェクト] → [Create New]を開く

2. LAN側のアドレスを定義する

名前	任意の名称を設定（SSL-VPN_local-address）
タイプ	IP/ネットマスク
サブネット/IP範囲	LAN側のアクセスを許可するアドレスの範囲を指定（192.168.1.0/255.255.255.0）
インターフェイス	LAN側のインターフェイスを指定（internal1）

ユーザ設定†

ユーザグループの定義†

SSL VPN接続を行うユーザの権限制御に使用するグループを作成する。
適切にグループを定義することによりユーザ毎にVPNポータルや付与するアドレスの切り替え、アクセス先の制御が可能となる。

1. [ユーザ&デバイス] → [ユーザ] → [ユーザグループ] → [Create New]を開く

2. ユーザグループを定義する

名前 SSL-VPN01

タイプ ファイアウォール

メンバー既に登録済みのユーザが存在する場合には選択する。

ユーザの定義†

SSL VPN接続を行うユーザを作成する。

1. [ユーザ&デバイス] → [ユーザ] → [ユーザ定義] → [Create New]を開く

2. ユーザを定義する

ユーザ名	VPNポータルにログインするアカウント名を登録
無効	ユーザを無効に設定する場合にはチェックを入れる
パスワード	VPNポータルにログインする際のパスワードを登録
このユーザをグループへ追加	所属させるグループを選択する。

Firewallポリシー設定†

1. [ポリシー&オブジェクト] → [ポリシー] → [Create New]を開く

2. SSL VPNの接続に対するFirewallポリシーを定義する

入力インターフェイス	ssl.root(SSL VPN Interface
送信元アドレス	all
送信元ユーザ	SSL-VPN01
出力インターフェイス	internal1
宛先アドレス	SSL-VPN_local-address
サービス	ALL
NAT有効	有効

SSL VPNポータルの定義†

ポータルの定義†

SSL VPN接続の際に使用するポータルの定義を行う。
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。

1. [VPN] → [SSL] → [ポータル] → [Create New]を開く

2. ポータルを定義する

トンネルモード有効	チェックを入れる
スプリットトンネリングを有効	チェックを入れる
ルーティングアドレス	VPN接続後にアクセスを許可するアドレスを指定する（SSL-VPN_local-address）
送信元IPプール	VPN接続時にクライアント側に払い出すアドレスを指定する（SSL-VPN_Client01）
Webモードを有効	Webポータル画面を使用する場合にはチェックを入れる
ポータルメッセージ	ポータル画面上に表示する任意のメッセージを定義する
テーマ	ポータルの色合いを調整。複数のポータルを定義する場合には色を変えておくと分かりやすい
ページレイアウト	ポータルのページの表示を方式を変更。縦長の画面（タブレットなど）を持つ機器では1枠モード、横長の画面（PCなど）を持つ機器では2枠モードが良いと思われる

ポータルの動作設定†

SSL VPN接続の際に使用するポータルの定義を行う。
ポータルは複数定義することができるため、1つの機器でもユーザグループ毎に複数のポータルを定義することも可能。

1. [VPN] → [SSL] → [設定]を開く

2. ポータルの動作条件を定義する

接続設定ポータルの動作状態を定義。

Listenするインターフェース	接続元となるインターフェイスを指定（wan1）
Listenするポート	SSL VPNポータルのポート番号を指定する。FortiGateの管理画面はHTTPSを使用しているため、同一のポートでは競合するために注意が必要。（通常はインターネット側から管理画面にアクセスするため、HTTPSを指定しても問題はない）
アクセスを制限	アクセス元のホストを制限する場合には設定を入れる
アイドルログアウト	自動ログアウトの設定

トンネルモードクライアント設定
クライアント側に割り当てるアドレスの定義。

アドレス範囲	クライアント側へのアドレスの割り当て方法を設定
IP範囲	Firewallオブジェクトとして定義したクライアントアドレスを指定する。（SSL-VPN01_Client01）
DNSサーバ	クライアントに付与するDNSの指定

認証/ポータルマッピング
ユーザグループとポータルのマッピングの定義。

ユーザ/グループユーザ設定で定義したユーザ又はグループを指定

ポータル割り当てるポータルを指定

ユーザ毎に複数のポータルを定義†

ユーザ毎に接続先を制限する場合には「認証/ポータルマッピング」にて複数の組み合わせを定義することで実現する。

認証/ポータルマッピング

添付ファイル:

fortigate_21.jpg 5395件 [詳細]

fortigate_18.jpg 6401件 [詳細]

fortigate_20.jpg 5182件 [詳細]

fortigate_23.jpg 2960件 [詳細]

fortigate_14.jpg 886件 [詳細]

fortigate_16.jpg 5432件 [詳細]

fortigate_19.jpg 5270件 [詳細]

fortigate_25.jpg 5230件 [詳細]

fortigate_17.jpg 1147件 [詳細]

fortigate_24.jpg 6489件 [詳細]

fortigate_15.jpg 790件 [詳細]

fortigate_22.jpg 4991件 [詳細]

Last-modified: 2025-03-16 (日) 23:19:42