Fortigateには、SSL-VPN機能が備わっており、比較的簡単にリモート環境からの接続が可能です。 Fortigateローカルに登録されたユーザで認証し、端末にForticlient(無償)をインストールするトンネルモードを使用して、接続する設定を確認します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/A484362B-CA09-4075-BA78-2ABEEFCC7E21.png)
SSL-VPN ユーザ作成
今回、リモートユーザとしてhirotanoを作成します。 ユーザ&認証 – ユーザ定義へ移動し、新規作成をクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/5A87FCB4-4B59-4D7E-8132-A43E4F058CB8.png)
ローカルユーザを選択し、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/DE452EAD-F7BC-4782-BA6C-47C809D40EAC.png)
ユーザ名とパスワードを入力し、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/F07A8284-7B73-454F-A5E7-BCEABE81E5DE.png)
何も設定せず、次へをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/BCE7B31D-2D00-4341-9F9E-E3B63A4B12E7.png)
何も設定せず、サブミットをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/65535F20-9BD7-4CD3-8F89-1A9280209BF3.png)
以下のように登録されます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/FD9818A7-F8FD-4127-990B-0EEC2A3DACF1.png)
SSL-VPN設定
VPN – SSL-VPN設定 へ移動し、SSL-VPNの受付設定をします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/6E8F3548-32F6-4A6E-8477-EF1972F4FD64.png)
- リッスンするインタフェース:SSL-VPNを受け付けるインターネット側のインタフェースを指定します。今回、インターネットにはport1が接続されています。
- リッスンするポート:httpsの管理用として、443を使用しているため、それと被らないポート番号に指定します。今回は4443とします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/1EA93AEC-2D97-443D-9B59-E956A346D8D5.png)
- アドレス範囲:SSL-VPNクライアントへ割り当てられるプールアドレスです。デフォルトでは、10.212.134.200〜210ですが、カスタムIP範囲を指定で変更することも可能です。今回は、デフォルトの自動的にアドレス割り当てを指定します。
- DNSサーバ:特定のDNSサーバを指定することができます。今回は、IPアドレスでの接続確認とするため、クライアントシステムのDNSと同じを指定します。
- 認証/ポータルマッピング:ポータルをtunnel-accessに設定します。これは、VPN – SSL-VPNポータルで予め設定されているポータルで、トンネルモードで接続するよう設定されています。
設定完了後、適用をクリックします。
ファイアウォールポリシー設定
ポリシー&オブジェクトへ移動し、SSL-VPN用のポリシーを設定します。 まず、アドレス より内部にあるRDP接続先の端末(10.0.1.10)をオブジェクトとして新規作成します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/9E87E5C3-9450-454F-8D6F-A9C6F01FD1C5.png)
ファイアウォールポリシー へ移動し、SSL-VPN用のポリシーを設定します。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/138DE17D-5D4E-4B49-9268-944661C8C602.png)
- 着信インタフェース:SSL-VPN用のインタフェースを選択します。
- 発信インターフェース:内部向けのインタフェースを指定します。
- 送信元:SSL-VPNで使用するプールアドレスとユーザの両方を登録します。+をクリックすルと、アドレスとユーザを設定できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/A5A292B9-D61E-452A-BDB7-41E66AFD398A.png)
![](https://hirotanoblog.com/wp-content/uploads/2020/10/C74E089F-82D9-45CA-B9F8-97E5634CA493.png)
- 宛先:内部端末として登録したInternal-RDPを選択します。
- サービス:今回はテストですので、ALLとします。
- NAT:無効化します。
また、許可トラフィックをログ はすべてのセッション を取得するようにします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/00EB4D8E-6B5F-4BD4-A08E-1C4702E2DDF7.png)
端末側の設定
端末にForticlientをインストールします。Forticlientは https://www.forticlient.com/downloads よりダウンロードできます。 (Windows、MAC、モバイルなどサポートされています。以下はMAC端末で動作確認しています)
![](https://hirotanoblog.com/wp-content/uploads/2020/10/189DD8F7-47A2-4568-8B2C-46E4FAB42607.png)
- Connection Name: 任意の名前を設定します。今回はSSL-VPN とします。
- Remote Gateway:FortigateでSSL-VPNを受け付けるグローバルアドレス
- Customize port: 4433
- Do not Warn Invalid Server Certificate :チェックを入れる
完了後、Saveをクリックします。
先ほど、設定したSSL-VPNという名称のプロファイルを選択し、ユーザ名とパスワードを入力し、Connectをクリックします。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/591D1D1B-7E29-48E4-AE2C-A3A64EEE4953.png)
しばらくすると、以下の画面のようにSSL-VPNが接続されたことが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/D020E5B0-1EF1-4162-9334-45B96AA59D4D.png)
端末のIPアドレスを確認すると、PPP接続として、10.212.134.200 が割り当てられています。
$ ifconfig -a ppp0: flags=8051mtu 1354 inet 10.212.134.200 --> 169.254.38.179 netmask 0xff000000
また、ルーティングテーブルを見ると、SSL-VPNポリシーで宛先として設定した10.0.1.10/32がPPPインタフェース向けへ学習されています。
$ netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.3.1 UGSc 82 0 en1
10.0.1.10/32 169.254.38.179 UGSc 1 0 ppp0
169.254 link#6 UCS 1 0 en1 !
169.254.38.179 10.212.134.200 UH 2 0 ppp0
そのため、10.0.1.10以外の接続は、トンネル接続対象外となります。10.1.0.10へRDP接続してみます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/8BEE1E73-F6B7-4822-8D20-150B673D81B1-1.png)
FortigateでダッシュボードからNetworkを選択し、SSL-VPNを確認すると、ユーザ名 hirotano でアクセスされていることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/12904151-16DF-407C-BEBA-8889EFF15468-1.png)
【ログ&レポート】-【転送トラフィック】で ユーザ名 hirotanoが10.1.0.10へRDP接続していることが確認できます。
![](https://hirotanoblog.com/wp-content/uploads/2020/10/806EC268-EA87-4394-A014-B7A87C1D12A3-1024x234.png)
ローカルユーザではなく、外部のLDAPサーバと連携してユーザ認証を行う場合は、以下の記事を参考にしてください。
>> 参考記事 : SSL-VPNリモート接続(トンネルモード、ActiveDirectory連携、LDAP連携)FortiOS6.2.4
コメント