در این مقاله به راه اندازی SSL VPN در Fortigate مورد بررسی قرار خواهیم داد. این مثال دسترسی به شبکه داخلی را برای کابران راه دور بوسیله SSL VPN فراهم می کند. همچنین در این مثال برای کابران فوق در هنگام اتصال به شبکه داخلی، دستیابی به اینترنت فراهم می گردد.
مرحله اول :
در ابتدا باید نوع دسترسی به پورتال تعیین گردد. بدین منظور از منوی سمت چپ مسیر VPN > SSL > Portals را دنبال کرده سپس گزینه ی Full-Access را انتخاب کرده و مطابق شکل تنظیمات را انجام دهید:
نکته:
انواع
دسترسی به پورتال :
Full-Access
Web-Acccess
Tunnel-Access
در
این مثال نوع دسترسی Full-Access انتخاب گردید.
نکته:
باید گزینه ی Enable Split Tunneling را غیر
فعال کنید. در نتیجه کل ترافیک از Fortigate عبور
کرده و به شبکه داخلی می رسد.
نکته:
در قسمت Source IP Pools می توانید مشخص کنید کاربرانی که از طریق SSL VPN به شبکه وصل می شوند از چه IP Address ای استفاده کنند. دستگاه FortiGate بطور پیش فرض یک Address Range با نام SSLVPN_TUNNEL_ADDR1 را برای این کاربران فراهم کرده است. شما می توانید آدرس فوق را تغییر دهید بدین منظور از منوی سمت چپ مسیر Policy & Objects > Objects > Addresses رفته و آدرس مورد نظر را از لیست انتخاب و تغییر دهید.
لازم به ذکر است در صورتی که قصد دارید کاربرانی که از طریق SSL VPN به شبکه متصل می شوند به دو دسته تقسیم شوند و به صورت مجزا به قسمت های جداگانه از منابع شبکه دسترسی داشته باشند، باید دو Portal ایجاد کرده و برای هر کدام یک Range متفاوت از IP Addrress را در قسمت Source IP Pools در نظر بگیرید. همچنین در مراحل بعدی نیز باید دو User Groups ایجاد و متعاقبا دو Policy ایجاد کنید.
سپس در قسمت Predefined
Bookmarks گزینه ی Create
New را انتخاب
کرده و مطابق شکل زیر یک
Bookmark جدید ایجاد
کنید.
نکته:
Bookmark به عنوان Link یک جهت اتصال به
منابع شبکه داخلی استفاده می شود.
مرحله دوم :
در این مرحله برای کاربرانی که قصد اتصال به شبکه داخلی را دارند حساب کاربری ساخته و سپس یگ گروه کابری ساخته و حساب های کاربری فوق را به این گروه اضافه می کنیم. بدین منظور از منوی سمت چپ مسیر زیر را دنبال کرده و مطابق شکل تنظیمات را انجام دهید :
User & Device > User > User Definition
User & Device > User > User Groups
مرحله سوم:
در این مرحله تنظیمات مربوط به اتصال کابران از طریق SSL VPN و در واقع ایجاد Tunnel انجام می شود. بدین منظور از منوی سمت چپ مسیر VPN > SSL > Settings را دنبال کرده و مطابق شکل تنظیمات را انجام دهید:
نکته:
برای گزینه
پورت متصل به اینترنت انتخاب شود. همچنین شما می توانید شماره پورت دلخواه خود را
در گزینه ی Listen on Port انتخاب کنید. در قسمت Specify Custom IP ranges می توانید IP Address مورد نظر خود جهت اختصاص به کاربران راه دور که به شبکه داخلی متصل می شوند را انتخاب کنید. لازم به ذکر است بطور پیش فرض یک IP Range
بدین منظور در Fortigate در نظر گرفته شده است، در صورت تمایل شما
می توانید آن را تغییر دهید و از IP Address های مورد نظر خود استفاده
کنید.
نکته:
در قسمت Authentication/Portal Mapping شما می توانید مشخص کنید که کدام کاربران به کدام پورتال ها چه نوع از دسترسی را داشته باشند.
مرحله چهارم:
در این مرحله جهت دسترسی کاربران به شبکه داخلی و همچنین اینترت شبکه ی داخلی به ترتیب دو Policy زیر را ایجاد کند. بدین منظور از منوی سمت چپ مسیر Policy & Objects > Policy > IPv4 را دنبال کرده و مطابق شکل تنظیمات را انجام دهید:
نکته:
همانطور که در ابتدای آموزش گفته شد، در صورتی که قصد دارید کاربرانی که از
طریق SSL VPN به شبکه متصل می شوند به دو دسته تقسیم شوند و به صورت مجزا
به قسمت های جداگانه از منابع شبکه دسترسی داشته باشند، باید دو Portal
ایجاد کرده و برای هر Portal
یک Range متفاوت از IP Addrress را در قسمت
Source IP Pools در نظر بگیرید. همچنین در مراحل بعدی نیز باید دو User Groups ایجاد کنید و متعاقبا دو Policy ایجاد و آدرس و گروه های ساخته شده را به فیلد های Source Address و Source User به صورت جدا گانه اختصاص دهید.
MAC Host Check
شما می توانید با انجام تنظیماتی در دستگاه FortiGate اجازه ی اتصال به شبکه ی داخلی از طریق SSL VPN را فقط برای کامپیوتر های خاص فراهم کنید. با استفاده از این روش MAC Address مربوط یه کامپیوتر کاربر قبل از اتصال به Tunnel چک می شود.
بدین منظور از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب و دستورا زیر را وارد کنید:
conf vpn ssl web portal edit Portal Name / Full Access /Web Access / Tunnel Access set mac-addr-check enable set mac-addr-action allow config mac-addr-check-rule edit rule1 set mac-addr-list 01:01:01:01:01:01 08:00:27:d4:06:5d set mac-addr-mask 48 end end
DHCP Relay of IP Address
دستگاه FortiGate می تواند جهت اختصاص IP Address به کاربرانی که از طریق SSL VPN به شبکه متصل می شوند، از DHCP Server استفاده کند. بدین منظور از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب و دستورا زیر را وارد کنید:
config system interface edit ssl.root set dhcp-relay-service enable / disable set dhcp-relay-ip next end
تنظیمات Cache Cleaning
زمانی که Session مربوط به SSL VPN خاتمه خاتمه می یابد، بعضی از اطلاعات در Cache مرورگر کاربر باقی می ماند. جهت افزایش امنیت می توانید از ویژگی Cache Cleaning استفاده کنید.با فعال کردن این ویژگی اطلاعات فوق قبل از خاتمه ی Session از Cache مرورگر حذف می شود. بدین منظور از منوی سمت چپ به مسیر Global > Dashboard > Status رفته و CLI Console Widget را انتخاب و دستورا زیر را وارد کنید:
config vpn ssl web portal edit full-access set cache-cleaner enable end