MY TECH BLOG

FortiGate SSL-VPN 設定例

技術ブログ
目次

SSL-VPN とは

VPN はインターネットのようなセキュリティが担保されていないネットワーク上で、認証・暗号化技術を用いて、利用者間で安全に通信可能にする技術です。
SSL-VPN は、その名のとおり、暗号化の手法として SSL を使用します。
FortiGate では、以下の 3 つの SSL-VPN 方式に対応しています。

  • Web モード
  • ポートフォワーディングモード
  • トンネルモード(推奨モード)

Web モード

クライアントは、Web ブラウザのみで利用可能です。
端末から HTTPS で SSL-VPN 装置へ接続し、SSL-VPN 装置は LAN 内のサーバーのアドレスに変換して、サーバーにアクセスします。Web ブラウザ上で動作するアプリケーションしか使用できない点に注意が必要です。

  1. ブラウザで SSL-VPN 装置へ HTTP アクセス(https://www.example.com/aaa)
  2. SSL-VPN 装置(本例では FortiGate)で URL 変換(http://aaa.example.com/)
  3. 対象の Web サーバーへデータ送信

ポートフォワーディングモード

クライアントは、Web ブラウザのみで利用可能です。
端末から HTTPS で SSL-VPN 装置へ接続し、SSL-VPN 装置から専用モジュール(java)を自動でダウンロードします。端末で実行したアプリケーションのデータは Java によって、SSL-VPN 装置に転送されます。
SSL-VPN 装置は、事前に定義したポート番号とアプリケーションのマッピング情報を確認し、対応したサーバーへデータを転送します。 FTP(アクティブモード)等、通信中にポート番号が変わるアプリケーションは使用できない点に注意が必要です。

  1. ブラウザで SSL-VPN 装置へ HTTP アクセス
  2. SSL-VPN 装置から専用モジュール(java)を自動でダウンロード
  3. 端末で実行したアプリケーションのデータは java によって、SSL-VPN 装置へ転送
  4. ポート番号とアプリケーションのマッピング情報を確認し、対応したサーバーへデータを転送

トンネルモード

クライアントは、専用のソフトウェアをインストールする必要があります。
専用ソフトウェアは対象の通信を HTTP でカプセル化し、SSL で暗号化します。[1]専用ソフトウェアはクライアントに仮想 NIC を追加し、これを経由する通信が対象となります。
全てのアプリケーションをサポートする推奨モードです。

  1. 専用のクライアントソフトウェアが全アプリケーションを HTTP でカプセル化して暗号化
  2. SSL-VPN 装置で受信した暗号化通信を復号化
  3. 対象のサーバーへデータ送信

FortiGate SSL-VPN 設定例

FortiOS 5.6 における SSL-VPN(トンネルモード)の設定例です。

ユーザー作成(user01~02を作成)

config vdom
edit "VDOM 名"
config user local
edit user01
set type password
set passwd "パスワード"
next
edit user02
set type password
set passwd "パスワード"
end

ユーザーグループ作成

config vdom
edit "VDOM 名"
config user group
edit "ユーザーグループ名"
set member user01 user02
end

SSL-VPN ポータル作成

config vdom
edit "VDOM 名"
config vpn ssl web portal
edit "ポータル名"
set tunnel-mode enable
set web-mode enable
set ip-pools "SSLVPN_TUNNEL_ADDR1"
set split-tunneling-routing-address "宛先ネットワーク(通常 LAN 側)"
end

SSL-VPN 設定

config vdom
edit "VDOM 名"
config vpn ssl settings
set servercert "Fortinet_Factory"
set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1"
set source-interface "SSL-VPN インターフェース(通常 WAN 側)"
set source-address "all"
set default-portal "web-access"
config authentication-rule
edit 1
set groups "ユーザーグループ名"
set portal "ポータル名"
end
end

IPv4 ポリシー設定

config vdom
edit "VDOM 名"
config firewall policy
edit 2
set name "ポリシー名"
set srcintf "SSL-VPN トンネルインターフェース"
set dstintf "出力インターフェース(通常 LAN 側)"
set srcaddr "all"
set dstaddr "宛先ネットワーク(通常 LAN 側)"
set action accept
set schedule "always"
set service "ALL"
set groups "ユーザーグループ名"
set ssl-ssh-profile "certificate-inspection"
set nat enable
end

確認コマンド

SSL-VPN の状態確認

get vpn ssl monitor

以上

関連記事
FortiGate の VDOM について

VDOM とは Virtual Domain の略で、1 台の FortiGate 内に独立した仮想ファイアウォールを構築できる機能です。標準で 10 台の仮想ファイアウォールをサポートし、VDOM 毎にモード設定、VPN 設定、ファ[…]

参考書籍

FortiGate完全攻略 [ 椎屋淳伸 ]
created by Rinker
¥3,080 (2024/04/25 23:16:46時点 楽天市場調べ-詳細)

脚注

脚注
1専用ソフトウェアはクライアントに仮想 NIC を追加し、これを経由する通信が対象となります。