Fortigateには、SSL-VPN機能が備わっており、比較的簡単にリモート環境からの接続が可能です。
このブログは以下の記事を前提にしています。Fortigateのローカルユーザではなく、LDAPサーバ(ActiveDirectory)上のユーザでユーザ認証します。SSLポータル設定は、以下の記事のものを使用します。
>> 参考記事 : SSL-VPNリモート接続(トンネルモード、ローカルユーザ)FortiOS6.2.4![](https://hirotanoblog.com/wp-content/uploads/2020/10/6E59DFDA-D726-4C5E-B903-A63E370C8DEB.png)
- ActiveDirecotoryとRDPの接続先は同一のサーバです。
ActiveDirectoryの準備
ドメイン: hirotanoblog.com としてActiveDirectoryを構築し、ユーザ名ldap-hirotano を予め設定しています。
LDAPサーバの登録
FortigateにLDAPサーバ(ActiveDirectoryサーバ)を登録します。ユーザ認証 –LDAPサーバ – 新規作成 へと移動します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/6AE600C2-2C2D-4C19-81C9-C1FC749243D0.png)
- 名前:任意の名前をつけます。ここでは、ActiveDirectoryとします。
- サーバIP/名前:LDAPサーバの接続先を設定します。今回はIPアドレスで10.1.0.10とします。
- コモンネーム識別子:Windows2000以前のWindowsログオン名として、samAccountName と設定します。
- 識別名:ActiveDirecotoryのドメイン名はhirotanoblog.comのため、cn=users,dc=hirotanoblog,dc=com と入力します。
- バインドタイプ:レビュラーに変更します。
- ユーザ名:ActiveDirectoryへアクセスできるユーザIDを指定します。ここではAdministtratorを設定します。
- パスワード;上記ユーザのパスワードを設定します。
- 接続テスト:クリックして、接続ステータスが成功になることを確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/3725F781-1C7C-4D29-B309-D0F7C502AC41.png)
ブラウズをクリックすると、画面右側が以下のような出力になることを確認してください。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/B6423F20-2CED-4B8E-A49C-99DF17C1FF97.png)
ユーザクレデンシャルをテストをクリックすると、ユーザ名とパスワードの入力画面が出力されます。今回使用するユーザ名:ldap-hirotanoの認証を確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/54BE44D2-1C17-467D-A1F1-920DB4A29BCB.png)
テストをクリックして、クレデンシャルが成功することを確認してください。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/A7A1F579-B51D-4A36-832E-0021A974F629-1.png)
SSL-VPN設定
以下の記事のものを流用します。
ファイアウォール ポリシー設定
ポリシー&オブジェクトへ移動し、SSL-VPN用のポリシーを設定します。内部にあるRDP接続先の端末(10.0.1.10)をオブジェクトとして、事前に設定しています。
では、ポリシーを設定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/D13978BC-31E9-4C95-91EB-38AD6EBC9973.png)
- 着信インタフェース:SSL-VPN用のインタフェースを選択します。
- 発信インターフェース:内部向けのインタフェースを指定します。
- 送信元:SSL-VPNで使用するプールアドレスとユーザの両方を登録します。+をクリックすルと、アドレスとユーザを設定できます。ユーザを今回のLDAPユーザであるldap-hirotanoを指定します。設定の仕方は、前回記事に記載しているので割愛します。
- 宛先:内部端末として登録したInternal-RDPを選択します。
- サービス:今回はテストですので、ALLとします。
- NAT:無効化します。
- 許可トラフィックをログ:すべてのセッション を取得するようにします。
端末側の設定
端末側のforticlientの設定は、以下の記事と同じです。
設定したSSL-VPNという名称のプロファイルを選択し、ユーザ名とパスワードを入力し、Connectをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/BC009A9F-BA8E-45DD-A64D-BC3B65FED847.png)
しばらくすると、以下の画面のようにSSL-VPNが接続されたことが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/161E4B09-C57C-469C-B1AF-8475942FB0BD.png)
10.0.1.10へRDP接続してみます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/8BEE1E73-F6B7-4822-8D20-150B673D81B1-2.png)
【ログ&レポート】-【転送トラフィック】で ユーザ名 ldap-hirotanoが10.1.0.10へRDP接続していることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/77E78B9F-4C3B-4ABD-9C10-F7B3C2B2DD68.png)
コメント