+7 (495) 7908632 (пн-пт: 10.00-18.00)
fortinet@almitech.com
Our Telegram channel
Каталог товаров

SSL VPN с FortiToken и мобильной push-аутентификацией (FortiOS 6.2.3)

Пример настройки удаленного доступа SSL VPN с двухфакторной аутентификацией FortiToken для мобильных устройств. Если вы активируете push-уведомления, пользователи могут принимать или отклонять запрос аутентификации.

Пример топологии

Пример конфигурации

WAN-интерфейс – это интерфейс, подключенный к провайдеру. Этот пример показывает статический режим. Вы можете использовать режимы DHCP или PPPoE SSL VPN устанавливается через WAN-порт.

Для настройки SSL VPN с использованием web-интерфейса (GUI):

1. Настройте интерфейсы и адрес межсетевого экрана. Интерфейс port1 подключается к внутренней сети.

a. Перейдите в раздел Network> Interfaces и отредактируйте настройки wan1 интерфейса.

b. Установите в поле IP/Network Mask занчения172.20.120.123/255.255.255.0.

c. Отредактируйте интерфейс port1 и установите IP/Network Mask to 192.168.1.99/255.255.255.0.

d. Нажмите ОК.

e. Перейдите в раздел Policy & Objects> Address и создайте адрес внутренней подсети 192.168.1.0.

2. Обязательно зарегистрируйте ваш FortiGate для активации FortiCare.

Чтобы добавить или загрузить мобильный токен в FortiGate, устройство должно быть зарегистрировано, а на устройстве доступен контракт FortiCare. Если ваше устройство уже зарегистрировано и есть актуальная подписка FortiCare, то пропустите этот шаг. 

a. Перейдите в раздел Dashboard> Licenses.

b. Наведите указатель мыши на службу поддержки FortiCare, чтобы проверить, зарегистрирован ли ваш контракт. Если нет, щелкните по нему и выберите Регистрация (Registration). Для покупки контракта FortiCare необходимо обратиться по адресу fortinet@almitech.com для подборка верного контракта.

3. Добавьте FortiToken mobile в ваш FortiGate. Если у вас уже добавлены FortiToken, то пропустите этот шаг.

a.  Перейдите в раздел User & Device> FortiTokens инажмите Create New.

b. Выберете Mobile Token и тип Activation Code.

c. Каждое устройство FortiGate по умолчанию имеет два мобильных токена бесплатно. Перейдите в раздел User & Device> FortiTokens и нажмите Import Free Trial Tokens.

4. Включите push-уведомления FortiToken mobile. Чтобы использовать аутентификацию FTM-push, используйте командную строку (CLI) для включения FTM-Push на FortiGate.

a. Убедитесь, что IP-адрес сервера доступен и введите следующие команды:

config system ftm-push
    set server-ip 172.20.120.123
    set status enable
end

b. Перейдите в раздел Network> Interfaces.

c. Отредактируйте wan1 интерфейс.

d. В разделе Administrative Access> IPv4 выберете FTM.

e. Нажмите OK.

5. Настройте пользователя и группы пользователей.

a. Перейдите в раздел User & Device> User Definition и создайте нового локального пользователя sslvpnuser1.

b. Введите электронный адрес пользователя в поле Email Address.

c. Включите Two-factor Authentication и выберете один из мобильных токенов из списка.

d. Нажмите Send Activation Code и выберете Email.

e. Нажмите Next затем нажмите Submit.

g. Перейдите в раздел User & Device> User Groups и создайте группу пользователей sslvpngroup членом которой является пользователь sslvpnuser1.

6. Активируйте мобильный токен.

a. Когда пользователь sslvpnuser1 создан, электронное письмо отправляется на указанный адрес. Следуйте инструкциям, чтобы установить мобильное приложение FortiToken на свое устройство и активировать токен.

7. Настройте web-портал SSL VPN.

a. Перейдите в раздел VPN> SSL-VPN Portals для того, чтобы внести изменения в портал full-access. Этот портал поддерживает два режима: туннельный и web. 

b. Отключите Enable Split Tunneling чтобывесь SSL VPN трафик проходил через FortiGate.

8. Настройте параметры SSL VPN.

a. Перейдите в раздел VPN> SSL-VPN Settings.

b. Выберете поле Listenon Interface(s), в данном примере это wan1.

c. Установите в поле Listen on Port значение 10443.

d. Установите Server Certificate.

e. Вразделе Authentication/Portal Mapping установитеweb-доступ (web-access) к порталу для All Other Users/Groups.

f. Создайте новый Authentication/Portal Mapping для группы sslvpngroup с доступом к порталу full-access.

9. Настройте политики SSL VPN для межсетевого экрана.

a. Перейдите в раздел Policy & Objects > IPv4 Policy.

b. Введите название политики. Например, sslvpn certificate auth.

c. Входящий интерфейс должен быть SSL-VPN tunnel interface(ssl.root).

d. Задайте Source Address для всех (all) и для Source User значение sslvpngroup.

e. Настройте Outgoing Interface на интерфейс локальной сети, чтобы удаленный пользователь мог получить доступ к внутренней сети. В этом примере port1.

f. Установите в поле Destination Address значение внутренней защищенной подсети 192.168.1.0.

g. Установите в расписании (Schedule) значение всегда (always)Service to ALL, и Action to Accept.

h. Включите NAT.

i. Настройте все оставшиеся параметры брандмауэра и безопасности по своему усмотрению.

j. Нажмите OK.

Для настройки SSL VPN через командную строку (CLI):

1. Настройте интерфейсы и адрес межсетевого экрана.

config system interface 
    edit "wan1"
        set vdom "root"
        set ip 172.20.120.123 255.255.255.0
    next
end

2. Настройте внутренний интерфейс и защищенную подсеть, затем подключите интерфейс port1 к внутренней сети.

config system interface
    edit "port1"
        set vdom "root"
        set ip 192.168.1.99 255.255.255.0
    next
end
config firewall address
    edit "192.168.1.0"
        set subnet 192.168.1.0 255.255.255.0
    next
end

3. Зарегистрируйте FortiGate и активируйте поддержку FortiCare. Чтобы добавить или загрузить мобильный токен в FortiGate, устройство должно быть зарегистрировано, а на устройстве доступен контракт FortiCare. Если ваше устройство уже зарегистрировано и есть актуальная подписка FortiCare, то пропустите этот шаг.

diagnose forticare direct-registration product-registration -a "your account@xxx.com" -p "your password" -T "Your Country/Region" -R "Your Reseller" -e 1

4. Добавьте мобильный FortiToken в ваш FortiGate.

a. Если на вашем FortiGate уже добавлены FortiToken, пропустите этот шаг.

execute fortitoken-mobile import <your FTM code>

b. Каждое устройство FortiGate имеет два бесплатный мобильных токена. Вы можете скачать fortitoken бесплатно.

execute fortitoken-mobile import 0000-0000-0000-0000-0000

5. Настройте push уведомления FortiToken.

a. Чтобы использовать аутентификацию FTM-push, используйте командную строку (CLI) для включения FTM-Push на FortiGate.

config system ftm-push
    set server-ip 172.20.120.123
    set status enable
end

b. Включите сервис FTM на интерфейсе WAN.

config system interface 
    edit "wan1"
        append allowaccess ftm 
    next
end

6. Настройте пользователя и группы пользователей.

config user local
    edit "sslvpnuser1"
        set type password
        set two-factor fortitoken
        set fortitoken <select mobile token for the option list>
        set email-to <user's email address>
        set passwd <user's password>
    next
end
config user group
    edit "sslvpngroup" 
        set member "sslvpnuser1"
    next 
end

7. Активируйте мобильное устройство.

a. Когда пользователь sslvpnuser1 создан, электронное письмо отправляется на указанный адрес электронной почты. Следуйте инструкциям, чтобы установить мобильное приложение FortiToken на свое устройство и активировать токен.

8. Настройте web-портал SSL VPN.

config vpn ssl web portal
    edit "full-access"
        set tunnel-mode enable
        set web-mode enable
        set ip-pools "SSLVPN_TUNNEL_ADDR1"
        set split-tunneling disable
    next
end

9. Настройте параметры SSL VPN.

config vpn ssl settings
    set servercert "server_certificate"
    set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
    set source-interface "wan1"
    set source-address "all"
    set default-portal "web-access"
    config authentication-rule
        edit 1
            set groups "sslvpngroup"
            set portal "full-access"
        next        
    end
end

10. Настройте одну политику брандмауэра SSL VPN, чтобы разрешить удаленному пользователю доступ к внутренней сети.

config firewall policy 
    edit 1
        set name "sslvpn web mode access"
        set srcintf "ssl.root"
        set dstintf "port1"
        set srcaddr "all"
        set dstaddr "192.168.1.0"
        set groups “sslvpngroup”
        set action accept
        set schedule "always"
        set service "ALL"
        set nat enable
    next
end

Как проверить работу SSL VPN соединения через web-портал:

1. С удаленного устройства используйте web-браузер для входа на портал SSL VPN http://172.20.120.123:10443.

2. Войдите в систему, использую учетные данные для пользователя sslvpnuser1. FortiGate отправляет push-уведомление о запросе на вход через мобильное приложение FortiToken.

3. Проверьте ваше мобильное устройство и нажмите Подтвердить (Approve). Когда аутентификация подтверждена, sslvpnuser1 регистрируется на портале SSL VPN.

4. На FortiGate перейдите в раздел Monitor > SSL-VPN Monitor для подтверждения пользовательского соединения.

Как проверить туннельное SSL VPN соединение:

1. Скачайте FortiClient

2. Установите и откройте FortiClient затем перейдите в раздел Remote Access > Configure VPN.

3. Добавьте новое SSL соединение

a. Укажите название для SSL-соединения

b. Установите в графе RemoteGateway адрес интерфейса FortiGate. В этом примере 172.20.120.123.

4. Выберете Customize Port и установите значение 10443.

5. Сохраните ваши настройки

6. Войдите в систему, используя учетные данные sslvpnuser1, и нажмите FTM Push. FortiGate отправляет уведомление о запросе на вход через мобильное приложение

7. Проверьте ваше мобильное устройство и нажмите Подтвердить (Approve). Когда аутентификация подтверждена, sslvpnuser1 регистрируется в туннеле SSL VPN.

Как проверить SSL VPN соединение с помощью графического интерфейса (GUI):

1. Перейдите в раздел VPN> Monitor > SSL-VPN Monitor чтобы проверить подключение пользователя.

2. Перейдите в раздел Log & Report> Forward Traffic чтобы просмотреть детали SSL VPN трафика.

Как проверить вход в web-портал с помощью командной строки (CLI):

get vpn ssl monitor
SSL VPN Login Users:
 Index              User                     Auth Type        Timeout      From                  HTTP in/out      HTTPS in/out
 0                     sslvpnuser1          1(1)                  229             10.1.100.254      0/0                     0/0

SSL VPN sessions:
 Index            User           Source IP         Duration         I/O Bytes           Tunnel/Dest IP 

Как проверить туннельное соединение через командную строку (CLI):

get vpn ssl monitor
SSL VPN Login Users:
 Index       User                 Auth Type       Timeout   From                  HTTP in/out     HTTPS in/out
 0              sslvpnuser1    1(1)                    291         10.1.100.254      0/0                     0/0

SSL VPN sessions:
 Index         User                 Source IP                Duration     I/O Bytes            Tunnel/Dest IP 
 0                sslvpnuser1     10.1.100.254           9                 22099/43228       10.212.134.200

01.01.2015

Комментарии

Нет комментариев.

Для того, чтобы добавлять комментарии, необходимо зарегистрироваться

К другим новостям

Каталог товаров
Since 2008
Новости

Бесплатное обучение по Fortinet

Онлайн-курсы для самостоятельного изучения, ранее доступные бесплатно для партнеров компании, теперь доступны для любого человека, желающего развить технические навыки и расширить свои знания в области кибербезопасности

12.05.2020

До 25% скидки на решения Fortinet

От удаленного доступа к безопасному удаленному доступу. Получите до 25% скидки на решения Fortinet для организации удаленного доступа в компании.

02.04.2020

Мы работаем с юридическими и физическими лицами только по безналичному расчету.
Для клиентов

E-mail:

Пароль:

Войти с помощью: