1,SSL VPN 准备
这里SSL VPN不涉及科学上网,只是通互联网连接到自己家内部,组成加密的私有网络,保护内部数据安全。
1.1,公网地址
很多运营商默认不提供公网地址,需要打电话让他们去修改设备端配置,并重启光猫。找个理由说家里有监控,不清楚话值得买里搜搜。
1.2,端口映射
因为用的光猫还是三层转发,没有采用桥接模式。需要在光猫上做端口映射,把防火墙wan1接口ip映射到光猫的出口地址,为简单期间,可以直接用光猫的DMZ映射(所有端口全都映射)。
1.3,网络拓扑
VPN加密使用隧道模式,由移动设备SSL拨号到防火墙,防火墙经过验证身份后,分配移动设备VPN虚网卡地址192.168.8.x(VPN地址池),即互联网设备使用192.168.8.x地址与局域网内部设备地址192.168.9.x实现虚拟局域网内互访。
1.3
1.3
2,SSL VPN 配置
2.1光猫映射
光猫公网地址映射到防火墙wan1口,如果多个内部地址端口映射不同主机,也可选虚拟服务器映射单独端口。运营商光猫手机上安装app控制,各地可能不一样。
2.1
2.1
2.2,地址和端口
防火墙需要对地址和端口等,命名后才能调用,地址SSLVPN_TUNNEL_ADDR1默认就有,直接把IP部分改掉。
2.2.1
2.2.1
策略&对象--->地址--->新建地址
2.2.2
2.2.2
名称:inside_add
类型:子网
子网/IP范围:192.168.9.0/24
2.2.3
2.2.3
修改地址SSLVPN_TUNNEL_ADDR1
子网/IP范围:192.168.8.1-192.168.8.99 //设定分配99个VPN地址,如嫌少可以把最后一位改大。
2.2.4
2.2.4
自己定义一个SSL端口,如此处为9443,以避免常规的HTTPS(443)端口经常被扫描。同时,也可避免运营商对个人非报备的80,443等网站服务默认端口强制关闭。
2.2.5
2.2.5
策略&对象--->服务--->新建服务
2.2.6
2.2.6
名称:T9443 //方便自己记忆,可随意
目标端口 TCP 9443-9443
2.2.7
2.2.7
2.3,用户账号
在防火墙上增加本地用户账户和用户组,用于登陆VPN认证。
用户新建
用户&设备--->设置用户--->新建
2.3.1
2.3.1
2.3.2
2.3.2
新增加用户:test //用户名根据自己喜好设定
密码:建议设复杂密码,8位以上,字母大小写、数子、特殊字符等组合
2.3.3
2.3.3
邮箱可不填跳过
2.3.4
2.3.4
确认状态已启用,如有多个账号,重复同样操作。
2.3.5
2.3.5
2.4,用户组
用户组新建
用户&设备--->用户组--->新建
2.4.1
2.4.1
用户组名称 VPN_GROUP,并把双击test用户加到组,如有多个用户,同样加入。
2.4.2
2.4.2
2.5,SSL VPN设置
虚拟专用网--->SSL-VPN门户--->tunnel-access //这里仅改隧道模式,也可改full-access
2.5.1
2.5.1
开启隧道分割
路由地址:双击加入inside_add地址名
即只有VPN地址192.168.8.x访问到内网地址192.168.9.x的流量才进行隧道加密,其他流量不加密正常走原互联网出口。假设在公司拨号到家里,采用隧道分割,到家里内网的网络数据,将进行加密;访问其他互联网流量不加密,与不拨号时一样,即通过公司网关为出口到互联网。
如果不开启隧道分割,那终端所有流量都从VPN走,即不管什么流量都加密,所有流量从家里的防火墙的落地再出互联网。在公司拨号到家里,不采用隧道分割,公司互联网出的内容审计将失效(加密流量公司看不到内容,且隐藏了访问目的IP),除非公司在电脑操作系统上已经装了后台监控程序,那在网卡加密前,公司已经截获了数据流,那就没办法了。
允许客户端保持密码:打开
2.5.2
2.5.2
虚拟专用网--->SSL-VPN设置--->tunnel-access
监听接口:wan1
在端口监听:9443 //即外网开启的端口
限制访问:允许从任何主机接入
超时时间:600
2.5.3
2.5.3
地址范围:指定自定义地址
IP范围:SSLVPN_TUNNEL_ADDR1
用户/组:全部其他用户/组
认证/portal映射:tunnel-access
2.5.4
2.5.4
点击应用后,会提示内嵌证书警告,点击OK
2.5.5
2.5.5
自动返回配置界面,页面最上面由提示没有SSL-VPN策略,点击后自动跳转到策略配置界面。
2.5.6
2.5.6
2.6,策略配置
跳转到策略配置界面
名称:vpn-in //名称随意,表示清楚即可
流入接口:ssvpn隧道接口(ssl.root)
流入出接口:internal
源地址:SSLVPN_TUNNEL_ADDR1
VPN_GROUP //必须地址和用户组都要选,否则会提示无效
目的:inside_add
服务:ALL
启用NAT:关闭
2.6.1
2.6.1
确认后同样提示证书告警,直接OK确认
2.6.2
2.6.2
如果希望也能内网反向发起访问vpn地址设备,可开一条in-vpn的策略,一般用不到,这里就不再设置了。
3,VPN软件安装
Fortinet技术支持中心 https://support.fortinet.com.cn/
SSL VPN客户端有各种操作系统的版本,建议不要装系统自带的,功能臃肿,很多特性用不上,启动起来很慢,推荐中国技术支持官网上的精简版,仅保留基本的SSL VPN拨号功能。下面软件介绍为官网转发:
小ssl vpn客户端(1.7M左右,非forticlient) 只有SSL VPN功能,无其他forticlient高级功能,比如IPsec VPN/IPS/AV等等...。优点是 无客户端安装兼容性问题,比如 XP/2003/WIN7/WIN8/WIN10/2008 Server等系统都可以兼容性安装,使用也良好。
Windows SSL VPN Client:
exe和msi格式:
https://fortinet-public.s3.cn-north-1.amazonaws.com.cn/FortiClient_Download/SSL-VPN-1-5-M-Windows_System_small_ssl_vpn_client/sslvpnclient_win_4.4.2333.exe
https://fortinet-public.s3.cn-north-1.amazonaws.com.cn/FortiClient_Download/SSL-VPN-1-5-M-Windows_System_small_ssl_vpn_client/sslvpnclient.msi
安装完毕后在电脑菜单栏打开fortiClient SSLVPN
3.1
3.1
settings设置账号
server address:公网地址:9443 //公网地址可通过百度ip地址查询得到,动态拨号公网IP会变,建议在防火墙里配置DDNS,通过动态域名访问。
注意地址后面跟冒号加前面设置的端口号,前面SSL端口改成了9443。一定要✔忽略证书告警,否则每次拨号会提示。
user name和password,填入前面防火墙里创建的用户账号。
3.2
3.2
4,测试检查
笔记本连手机5G热点,通过互联网拨VPN号测试。
拨号已经连接,并且有收发包增长。
4.1
4.1
检查笔记本网卡,ifconfig /all 可看到VPN虚网卡,已经获得192.168.8.2地址。
4.1
4.1
电脑cmd中输入route print检查路由,可见去往192.168.9.0/24内部网段,走的是192.168.8.2接口,0.0.0.0/0默认路由是通过wifi的192.168.1.103出去,不同数据走不同出口,说明VPN隧道分割配置成功。
4.2
4.2
直接访问内网防火墙管理接口192.168.9.254,可正常访问连通。
监视器--->SSL-VPN监视器 可查看到VPN登陆用户连接和地址分配信息。
家里内网有nas开smb共享目录,就可以像局域网内一样操作,安全和便利性都能保证,非常香。
4.3
4.3
总结
转发分享一些有用的配置手册,供参考
FortiGate产品安装及快速配置 https://support.fortinet.com.cn/index.php?m=content&c=index&a=show&catid=30&id=349
FortiGate产品实施中文一本通(6.0) https://support.fortinet.com.cn/index.php?m=content&c=index&a=show&catid=30&id=345
就目前来说,飞塔60D是在200-300价位里,性价比最好的二手千兆桌面型防火墙,大厂品牌,资料齐全,性能稳定,功能齐全,全千兆转发,策略控制,WAN双路负载,SD-WAN,DDNS,SSL VPN,IPsec VPN,内置抓包功能,丰富的网络及协议监控功能,可玩性很高,完全可以取代家庭路由器做网关,简直就是猛禽皮卡对普通SUV的降维碾压。
作者声明本文无利益相关,欢迎值友理性交流,和谐讨论~
原创文章,作者:夜风博客,如若转载,请注明出处:https://www.homedt.net/47317.html
夜风博客