FortiGate クライアントVPN設定手順
ForiClientをインストールして下さい
ForiClientのインストール手順はこちら
クライアントに割振る用のアドレスオブジェクトを作成
ポリシー&オブジェクト > アドレス を選択
名前:解りやすい名前を設定
カラー:任意で判断しやすいようにカラーを選択
タイプ:サブネットを選択
サブネット/IP範囲:アドレスの範囲を指定
インターフェース:このオブジェクトを使用するインターフェースを指定(指定が無ければany)
VPN設定
VPN > SSL-VPN設定 を選択
接続設定
リッスンするインターフェース:VPNを待ち受けるインターフェース選択
リッスンするポート:VPNで使用するポートを設定(セキュリティ上、ウェルノウンポートは避けることが多い)
アクセス制限:制限をかけたい場合は「特定ホストへのアクセス制限」を選択
アイドルログアウト:一定時間通信を行わなかった時に自動ログアウトの設定を行う場合はONを選択
サーバ証明書:変更したい場合は自分で導入したサーバ証明書を選択
クライアント証明書の要求:クライアント証明書を使用したい時は選択
(クライアント証明書の設定は下記で説明)
トンネルモードクライアント設定
アドレス範囲:アドレス範囲を自動的か、カスタムIPアドレス範囲を指定するかを選択
(参考では最初に作成したアドレス範囲を指定)
DNSサーバ:「クライアントシステムのDNSと同じ」か「指定」を選択
(指定の場合は任意のDNSサーバを設定)
WINSサーバを指定:WINSサーバーを指定する場合はON
エンドポイント登録を許可:エンドポイント登録を許可する場合はON
認証/ポータルマッピングを設定する
VPNで接続するユーザを設定
ファイヤーウォールポリシーを作成
ポリシー&オブジェクト >ファイヤーウォールポリシー >新規作成
名前:任意
着信インターフェース:SSL-VPN tunnel Intereface
発信インターフェース:リッスンしているインターフェース
送信元:許可したいユーザとアドレス帯
宛先:許可したい宛先
サービス:許可したいポート(リッスンしているポート番号だけでも問題なし)
NAT・セキュリティプロファイルなどは環境によって
インターネット向けポリシー
VPNからインターネット向けの通信のポリシーを設定
名前:任意
着信インターフェース:SSL-VPN tunnel Intereface
発信インターフェース:インターネット向けポート
送信元:許可したいユーザとアドレス帯
宛先:許可したい宛先
サービス:許可したいポート
クライアント設定
クライアントコンソールを起動 > VPN設定 を選択
VPN:SSL-VPNを選択
接続名:ForiClientで判別できる任意の名前を設定
説明:説明があれば記載
リモートGW:接続先のIPアドレス・FQDNを設定
ポートの編集:443から変更している場合はチェックを入れてポート番号を変更
VPNトンネルのシングルサインオンを有効化する場合はチェックを入れる
クライアント証明書:クライアント証明書使用する場合は選択
認証:ユーザ名を入力・ユーザ名を保存 を選択
ユーザ名とパスワードを入力
VPN接続済みになれば完了
クライアント証明書を使用する場合
※Opensslでオレオレ証明書を作成してテストしてます
クライアント証明書をPCにインストールします
FortigateのSSL-VPN設定のクライアント証明書を有効にします
Fortigateへクライアント証明書の認証局証明書をインストールします
証明書がインストールされたことを確認
ForiClientを証明書ありでVPN設定を実施
接続完了
コメント