Fortigate firewall v7.2.11 için hatırlatıcı olmak amacıyla bu makaleyi yazıyorum, malum fortigate üst firmware lerinde ssl-vpn e veda ediyor ama bu da burada dursun... belki birgün işime yarar.
birinci adım olarak ben öncelikle bir kullanıcı oluşturuyorum, herkesin yoğurt yiğişi farklı olabilir...
kullanıcıyı oluşturmak için;
User & Authentication sekmesi altındaki
User Definition açıp, ekranın sağında bulunan
+Create New'e tıklıyoruz. Local User tıklıyorum ve Next ile devam ediyorum.
Next ile devam ediyorum. username ve password bilgilerimi giriyorum ve Next ile ilerliyorum.
Two-factor Authentication kullanmıyorum test ortamında yüklü olmadığından Next ile devam ediyorum.
"Submit" tıklayarak kullanıcımı oluşturuyorum. Aşağıda görüldüğü üzere kullanıcım oluşmuş durumda, daha sonrasında bu kullanıcımı User Groups altında vpn_user_group grup ismi oluşturup bu gruba ekliyorum. Altaki ikinci resimde
Bu aşamadan sonra SSL VPN tanımlamalarına geçmeden önce Yerel network adreslerimi ekliyorum. Buradaki network tanımı ssl-vpn ile bağlandıktan sonra erişim yapabileceğimiz ağ kaynaklarıdır.
Policy & Objects tıklayıp açılan menüden
Addresses tıklanır, açılan ekranda
+Create New ----> Address tıklanır.
burda yerel network adresimizi ekleriz
ben 172.16.34.0/24 olarak tanımladım.
Tam bu aşamada elektrikler kesildi... devamı gelecek.
bir de tünel adresi tanımlamamız gerekmekte ben ön tanımlı olan ip aralığı ile devam ediyorum,
buraya kadar ssl-vpn için kullanıcı ve ip adreslerini tanımladık, sıra geldi VPN tanımlamasına, VPN sekmesi tıklanır, açılan ekran aşağıdaki gibidir buradan tunnel - access seçilir, isteseniz kendiniz oluşturmak isterseniz create new ile bu işlemi yapabilirsiniz.
SSL-VPN portals ayarlarımız bu kadar ok tıklıyoruz, sıra geldi SSL-VPN setting ayarlarına
SSL-VPN setting açılır, burada Listen on Interface(s) kısmını internete çıkartığınız PORT eklenir benim WAN Port1 internet çıkış portum (interface) olduğundan bunu seçiyorum sizin wan interface portunuz hangisi ise onu seçin.
Listen on Port olarak default olarak 443 geliyor ama başka portlarlarda çakışmaması için ben 10443 olarak değiştirdim siz de 11433 olarak ya da farklı verebilirsiniz size kalmış.
Address Range kımına kendinizin belirlediği bir ip aralığı verebileceğiniz gibi default ta gelen ip adres aralığınıda bu şekliyle bırakabilirsiniz, ben bu ip aralığıyla bırakıyorum.
son olarak vpn setting ekranında Authentication/Portal Mapping kısmında All Other Users/Groups ve mevcutta oluşturduğumuz tunnel-access seçiyoruz. Aşağıdaki resimdeki gibi oluyor. Apply tıklayıp ayarları bitiriyoruz. Geriye 2 adet Policy yazmamız kalıyor birincisi vpn kullanıcıları için yani yerel (internal) erişim için, ikinci policy mizde vpn üzerinden gelip bizim firewall umuz üzerinden internete çıkmasi için bu demek oluyor ki kendi internet bağlantısı üzerinden internete çıkmasın. :)
gelelim policy oluşturmaya ilk policy miz aşağıdaki gib olacaktır.
ikinci policy mizde aşağıdaki gibi olacaktır.
ve son olarak FortiClient VPN ile bağlanıp test etmeye geliyor. FortiClient VPN ayarlarını yapıyoruz.
son olarak bağlandık şimdilik hepsi bu kadar...
Hiç yorum yok:
Yorum Gönder