FortiGateSSLVPN配置..docx

FortiGate SSL VPN隧道模式配置FortiGate SSL VPN分为Web模式和隧道模式两种，Web模式具有一定局限性，且隧道模式同样可以使用Web方式访问，所以这里只介绍隧道模式的配置实验设备：FortiGate 50B实验环境：远程设备（10.0.1.0/24）通过SSL VPN拨入FortiGate 50B，分配到sslvpn地址池的地址（192.168.10.0/24）,然后通过虚拟出的ssl.root接口访问到服务器所连接的接口（192.168.100.0）配置步骤：1）建立地址池2）指定SSL VPN地址池，启动SSL VPN3）配置SSLVPN界面4）新建用户和用户组，指定用户组访问的SSLVPN界面5）指定静态路由到SSLVPN地址池6）添加策略1. 建立地址池新建SSL VPN拨入后为客户端分配的地址池：sslvpn_address（192.168.10.0/24）新建需要被访问的服务器的地址池：Server(192.168.100.0/24)2. 启用SSLVPN，指定SSLVPN为拨入客户端分配的地址池：sslvpn_address3. 配置SSL VPN界面新建SSL VPN界面：sslvpn_interface（也可以使用默认已有界面），然后在应用中选择需要使用的协议增加Tunnel Mode部件，选择IP池为sslvpn_address，默认勾选通道分割功能（通道分割也就是实现VPN通道和正常使用网络通道的分隔，只有需要访问VPN数据时才通过VPN通道，其它数据访问还是走之前正常的数据通道）；每个部件配置完成后需要点击左上角“确定”按钮，整体的界面配置完毕后点击SSL VPN界面配置左上角的OK4. 新建用户和用户组，指定用户组访问的SSLVPN界面新建用户sslvpn1新建用户组sslvpn_users，将刚创建的用户sslvpn1加入到该用户组，并允许此用户组接入到我们刚刚创建的SSL VPN界面：sslvpn_interface5. 指定到SSLVPN地址池的静态路由SSL VPN启用后会虚拟出一个接口ssl.root，远程VPN拨入后相当于拨入到ssl.root接口，所以我们需要为FortiGate指出ssl.root所连接的网段，目的地址：192.168.10.0/24通过接口：ssl.root网关：留空6. 添加策略1）添加外网拨入内网策略2）添加客户端拨入到内网ssl.root之后再到服务器所连接Internal口策略远程客户端从外网拨入internal接口策略：源接口：WAN 地址：all（也可以具体指定为远程客户端所在段）目的接口：internal 地址：Server动作：SSLVPN然后点击添加，添加拨入时验证的用户组：sslvpn_users添加完第一条策略后，远程客户端已经可以拨入到ssl.root，并获取地址SSL VPN默认端口为：10443测试从web页面登录测试从SSL VPN客户端登陆这里可以看出SSL VPN已经为远程客户端分配了sslvpn_address地址池内的地址，但我们ping服务器端地址时仍然不通添加远程客户端拨入后，通过ssl.root接口访问服务器所连internal接口策略：源接口：sslvpn隧道接口源地址：sslvpn_address目的接口：internal 目的地址：Server动作：Accept这时再测试到服务器已经连通了Web界面登陆后也可以连通服务器贴一张所做策略的截图