SSL VPN WEB代理模式配置

由于部分用户Web服务器的网页代码不够规范,可能与SSL VPN Web代理模式不兼容,导致访问异常,强烈建议使用SSL VPN隧道模式

组网需求

在外移动办公的工作人员需要通过SSL VPN WEB模式拨入到公司内网来对内网主机进行访问。

网络拓扑

PC1---------------Internet-------------(port2:100.1.1.2)FGT-BJ(port5:192.168.0.1/24)-----------PC2(192.168.0.10  HTTPS/SSH Service)
                                                           |-----------PC3(192.168.0.20   RPD Service)

配置步骤

  1. 基本配置

    配置接口IP和路由

    image-20221208113336372

    image-20221208113353399

  2. 创建用户

    选择“用户与认证”-->“设置用户”,点击“新建”。

    image-20221212151128891

    选择“本地用户”,点击“下一步”。

    image-20221212151157811

    输入用户名和密码,点击“下一步”。

    image-20221212151319210

    可根据需求选择启用。这里不启用,点击“下一步”。

    image-20221212151409185

    点击“提交”。

    image-20221212151629689

    完成用户创建。

    image-20221212151728884

  3. 创建用户组

    选择“用户与认证”-->“用户组”,点击“新建”。

    image-20221212152333684

    输入名称,即组名,并将用户加入用户组,点击“确认”。

    image-20221216120138991

    完成用户组创建。

    image-20221216120159614

  4. 配置SSL-VPN门户

    系统默认创建3个SSLVPN门户:full-access:开启了隧道模式和web代理模式;tunnel-access只开启了隧道模式;web-access:只开启web代理模式。可以根据实际需求进行修改,也可以新建新的SSL-VPN门户。

    image-20221216104055636

    这里使用web-access门户,新建HTTPS,SSH,RPD 3个资源供客户端拨号后访问。

    image-20221216165706066

    PC2-HTTPS资源配置:

    image-20221216164235718

    PC2-SSH资源配置:

    image-20221216165253610

    PC3-RDP资源配置:

    image-20221216165823010

  5. 配置SSLVPN

    设置提供SSLVPN服务的接口和端口,将SSLVPN-Group用户组和web-access门户关联,全部其他用户/组也要关联一个门户,用于没有配置关联的用户/用户组访问。

    image-20221216120825927

  6. 创建策略

    image-20221216164747018

业务测试

  1. PC1使用chrome访问SSLVPN,并输入用户名和密码。

    image-20221216165025532

  2. 登录成功后,可以看到之前创建好的3个资源。

    image-20221216165738619

  3. 业务访问

    点击PC2-HTTPS,访问成功。

    image-20221216165145389

    点击PC2-SSH,访问成功。

    image-20221216165345941

    输入PC2 SSH的用户的密码,登录成功。

    image-20221216165437607

    点击PC3-RDP,访问成功。

    image-20221216165851295

  4. FortiGate查看SSLVPN用户状态。

    image-20221216204714782

     # get vpn ssl monitor 
SSL-VPN Login Users:
 Index   User    Group   Auth Type      Timeout         Auth-Timeout    From     HTTP in/out    HTTPS in/out  Two-factor Auth
 0       user1   SSLVPN-Group   1(1)      289                28788    10.1.1.5       0/0               0/0          0

SSL-VPN sessions:
 Index   User    Group   Source IP      Duration        I/O Bytes       Tunnel/Dest IP

Web代理模式自定义代理IP

默认情况下,使用Web代理模式的SSL VPN时,客户端访问内部服务器,是通过FortiGate上流量的出接口IP作为代理IP访问内部服务器的,如果想要修改这个IP为其他IP地址,可以使用如下方法实现。

  1. 配置IPPool,内容为自定义的代理IP地址,例如默认出接口IP为172.16.1.254作为SSL VPN Web模式的代理IP,但用户想使用172.16.1.1作为代理IP,则配置该IP为地址池的范围。

    config firewall ippool
    edit "SSL-VPN-IP-Pool"
        set type overload
        set startip 172.16.1.1
        set endip 172.16.1.1
    next
end

  2. 在SSL VPN的访问策略(从SSL VPN接口到内网口方向)中,开启SNAT,并引用上述地址池。

    config firewall policy
    edit 1
        set name "SSL-VPN Web Mode"
        set srcintf "ssl.root"
        set dstintf "LAN"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set nat enable
        set ippool enable
        set poolname "SSL-VPN-IP-Pool"
    end

  3. 在SSL VPN配置中开启Web模式的SNAT。

    config vpn ssl settings
    set web-mode-snat enable 
end

  4. 此步很重要:在SSL VPN绑定的接口上,开启第二地址,并配置第二地址为上述地址池中的IP(32位)。

    config system interface
    edit "wan1"
        set ip 172.16.1.254 255.255.255.0
        set secondary-IP enable
        set interface "port2"
        config secondaryip
            edit 1
                set ip 172.16.1.1 255.255.255.255
            next
        end
    next
end

  5. 随后,SSL VPN客户端通过Web模式访问内网Web服务器,将通过地址池中配置的IP作为代理源IP访问。

Copyright © 2023 Fortinet Inc. All rights reserved. Powered by Fortinet TAC Team.
📲扫描下方二维码分享此页面👇该页面修订于: 2023-09-12 15:24:01

results matching ""

    No results matching ""