FortiGate SSL-VPNの設定方法と同時接続数

FortiGate

FortiGateでSSL-VPNの設定はとても簡単です。
FortiGateはUIが優れているのでとても分かりやすいです。

 

ただし、できることは限られているので、企業の従業員向け等にセキュリティをきちんと確保する上では、BIG-IP等の専用機を用いるほうが良いかと思います。FWの中でもCiscoASAやPaloAltoでは結構色々できるイメージです。

FortiGateは簡単に構築できる分、複雑なことはできないイメージです。(間違っていたらすみません。)

保守ベンダ用のSSL-VPNとしては、FW兼用として使うことが多いかなと思います。

 

同時接続数

同時接続数は下記の通りで、ライセンス追加なしで結構多いです。

FortiGate80E:200

FortiGate100E,100F,200E:500

FortiGate300E:5000

 

https://www.fortinet.com/content/dam/fortinet/assets/data-sheets/ja_jp/fortinet-ProductMatrix.pdf

 

SSL-VPN設定

今回は最低限の設定項目にとどめます。

SSL-VPN基本設定

[VPN] > [SSL-VPN設定]から設定をしていきます。

 

【SSL-VPN設定】

SSL-VPNの基本となる設定です。

リッスンするインターフェース:通常はWANポートかと思います。

リッスンするポート:「443」はGUIの管理アクセスで利用しているので、「443」を利用しないか、管理アクセスのポート番号を変える必要があります。([システム] > [設定]から変更が可能)

アクセスを制限:SSL-VPNで接続後、アクセス先を制限する場合は設定します。

サーバ証明書:サーバ証明書を定義する場合はここで設定

クライアント証明書を要求:クライアント証明書認証を行う場合に設定

 

【トンネルモードクライアント設定】

SSL-VPN接続後の端末に関する設定です。

アドレス範囲:SSL-VPN接続後に払い出されるIPアドレスを設定
       払い出しIPアドレスはデフォルトまたは適当な値とし、
       送信元インターフェースにNATするということもよく行ったりします。

 

【認証/ポータルマッピング】

認証するユーザを指定します。

ローカルでユーザを作ることもできますし、RADIUSやLDAP、FSSOと連携することもできます。

ユーザ設定は[ユーザ&デバイス] > [ユーザ定義]から設定することもできます。

また、設定したユーザに対して、デフォルトのポータルまたは、

下記で設定するポータルをマッピングします。

 

SSL-VPNポータル設定

SSL-VPNで接続する際の方式についての設定です。

主に2種類があります。実際やってみて確認ください。

・トンネルモード:一般的なSSL-VPNのイメージ?

・Webモード:SSL-VPN接続後、結構できること限られます。

 

デフォルトで存在するfull-accessは両モードが有効になっています。

※トンネルモードのスプリットトンネルを無効にすると、SSL-VPN接続後はすべての通信がSSL-VPN経由の通信となります。
インターネット接続は個人環境から出ていくようにするなどの場合は、スプリットトンネルを有効にし、[ルーティングアドレス]にSSL-VPN経由となるネットワークセグメントやIPアドレスを指定します。

 

ポリシーへの反映

最後に、SSL-VPN後のポリシーを設定します。SSL-VPN接続ユーザはここで設定した宛先にしか行くことができません。

NAT(送信インターフェースのアドレスを使用)を有効にすることで、上部「【トンネルモードクライアント設定】のIPアドレス範囲」の際に記載した内容のことが実現可能です。

 

DDNSを利用する場合

Dynamic-DNS(DDNS)はプロバイダから固定IPアドレスを取得しなくても、

一意のFQDNを使って、SSL-VPNへ接続することが可能です。

 

詳細はこの記事を確認ください。

FortiGateのDynamic-DNS(DDNS)の設定方法
SSL-VPNを行う場合、プロバイダから固定IPを払い出してもらって、そのIPに対して、外部から接続するのが一般的です。 しかし、Dynamic-DNS(DDNS)を利用することで、PPPoEで設定した場合など、ころころ変わるグローバルIP...

 

参考書籍

 

 

 

コメント

タイトルとURLをコピーしました