2016年2月13日 星期六

Fortigate-110C 建立 VPN (Tunnel Mode)

Fortigate-110C v5.2.5,build701 建立 Web-only Mode VPN (韌體更新步驟)
因學校人數不多建立最簡單的本機帳號,有需要的人申請建立帳號即可。
學務系統在校外資網中心雲端主機。

參考文件 (資網中心 → 8-8-1技術或資安文件 → Fortigate 200D SSL VPN 設定說明...)
http://www.tc.edu.tw/docs/download/id/11889

"Tunnel Mode" 和 "Web-only Mode" 大部分步驟相同,因已先完成 "Web-only Mode",所以大部分物件或規則已建立。

  1. 建立相關位址物件 (已建立)
    操作步驟:政策&物件 → 物件 → 位址 → Create New
    1. 防火牆 IP
    2. 學校網段 (本校也是後半C)
    3. 學務系統 (位於資網雲端主機)
    4. 公文整合系統 (不開放 VPN 可以不用設)
    5. VPN 要使用的 Private IP (Tunnel 連線時要用的,須避開一般家用分享器常用的網段)
  2. 建立相關服務物件 (已建立)
    操作步驟:政策&物件 → 物件 → 服務 → Create New
    1. 新增一個服務物件:
      PORT 號自訂 (預設10443)
  3. 設定靜態路由 (新建立)
    操作步驟:路由設定 → 靜態路由 →  靜態路由  → Create New

    建立與 1-5 相同範圍網段,Tunnel 使用者會被歸類到 ssl.root 介面。
  4. 新增使用者帳號 (已建立)
    操作步驟:用戶與設備 → 用戶 → 用戶認證 → Create New
    1. 用戶類型:本地用戶
    2. 用戶憑據:輸入帳密
    3. 聯繫方式:可省略
    4. 額外信息:確定啟用 → 完成
      如果已建立群組可直接勾選用戶群組方便管理。
  5. 新增使用者群組  (已建立)
    操作步驟:用戶與設備 → 用戶 → 用戶群組 → Create New
    1. 用戶名:自訂
      類型:防火牆
      成員:按 "+" 新增,可以使用 Ctrl 複選。
  6. 新增門戶網站 (用戶登入成功後的畫面,部分修改)
    操作步驟:VPN → SSL → 門戶網站 → Create New
    1. 用戶名:自訂
      啟用 "啟動隧道模式 → 啟動切分隧道" 避免過多封包經過學校。
      只有 "路由地址" 的封包會經由 "來源 IP Pools" 轉送,此時才會經過學校,沒有在 "路由地址" 的封包還是會由原來的路徑傳送。
      與講義不同,學務系統在校外網段,所以需加入 "路由地址"。
      加入校內網段讓使用者可以如同在校內使用網路磁碟機...等設備。
      加入公文整合讓使用者可以在家安裝公文系統,不受行動辦公室限制。
    2. 新增門戶網站最下面的 "確定" 要記得按。
  7. 設定 SSL VPN  (已建立)
    操作步驟:VPN → SSL → 設定
    1. 連線設置
      介面監聽:只監聽 Public IP 的 WAN1 介面
      Listen on port:10443 (預設監聽埠號)
    2. 隧道模式客戶端設置
      指定自定義IP範圍為 VPN_SSLVPN_TUNNEL、指定 DNS Server,未架設 WIN Server 就不指定。
    3. 認證/入口網 對應
      Creaste New → 指定 "用戶/群組"、"Portal"
    4. 最下面要記得按 "採用" → "確定"。
  8. 建立防火牆規則(至少3條規則,因 sfs 在校外需要第4條規則,已建立)
    操作步驟:政策&物件 → 政策 → IPv4 → Create New
    1. 規則一:允許來自 ssl.root 介面的 all IP 位址,用戶群組是 VPN_Group 者對 ssl.root 介面的 VPN_SSLVPN_TUNNEL IP 位址放行。
      不啟用 NAT。
    2. 規則二:允許來自 wan2(校外) 介面的 all IP 位址對 wan1(校內) 介面的防火牆 FAC-firewall (FG-110C) 放行 VPN_TCP_10443。
      不啟用 NAT。
      (與講義不同:HTTPS、PING ...服務已寫在別的規則中)
    3. 規則三:允許來自 ssl.root 介面的 all IP 位址,用戶群組是 VPN_Group 者對 wan1(校內) 介面的 LAN-校內網段 IP 位址放行。
      不啟用 NAT。
    4. 規則四:允許來自 ssl.root 介面的 all IP 位址,用戶群組是 VPN_Group 者對 wan2(校外) 介面的 "PASS-odis-公文整合"、"SERVER-SFS" IP 位址放行。
      啟用 NAT 帶 Public IP 到上面放行網站。

      啟用 NAT,使用動態 IP Pool,按 "+" 設定一個 Public IP 對外連線用。
      如果前面第3個步驟已建立 IP Pool 可以直接選用。

      IP Pool 可在"政策&物件 → 物件 → IP Pool" 查詢修改
    5. 因為學務系統在校外,如果僅開放 "學務系統" 和 "公文整合",不開放校內的其他服務,似乎不需要規則三。
  9. 測試結果
    1. 校外的學務系統成功。電子公文未測。
    2. 校內的網路磁碟機連線失敗,可能是 IP 帶 192.168.212.x 的關係
      是因為 Samba 採明碼傳送,才無法連線。
    3. Proxmox Virtual Environment 也可以用。
    4. 防火牆登入帳號加入信任主機 192.168.212.0/24 成功。

沒有留言:

張貼留言