Fortigate cihazlarının 7.4 versiyonunda 2GB RAM ve altında (60F ve 40F modelleri gibi) olan cihazlarda, SSL VPN yapılandırması GUI üzerinden yapılamamaktadır. Bunun temel sebebi cihaz üzerindeki yükü azaltmaktır. Bu rehber, CLI kullanarak SSL VPN yapılandırmasının nasıl gerçekleştirileceğini adım adım anlatıyorum.
1. Kullanıcı Tanımlama
User & Authentication bölümüne gidin ve yeni bir SSL kullanıcısı oluşturun.
2. Kullanıcı Grupları
Bir grup oluşturarak tüm SSL VPN kullanıcılarını bu gruba dahil edin.
3. SSL VPN Web Portalı Oluşturma
CLI üzerinden aşağıdaki komutları kopyalayıp yapıştırın. Komutları uyguladıktan sonra, “config vpn ssl web portal” yazıp show komutunu çalıştırın. “SSL TEST” adında bir portal oluştuğunu görebilirsiniz.
config vpn ssl web portal
edit “SSL TEST”
set tunnel-mode enable
set web-mode enable
set ip-pools “SSLVPN_TUNNEL_ADDR1”
set split-tunneling-routing-negate enable
config bookmark-group
edit “gui-bookmarks”
end
end
4. Varsayılan Komutları Kışıselleştirme
Ekte verilen SSL VPN komutlarını, Notepad++ veya benzeri bir uygulamada kışıselleştirerek düzenleyebilirsiniz. source-interface komutundan hangi porttan internete erişimiz var ise onu ekleyeceksiniz. Resimde ki komutlar default olarak gelmektedir. Aşağıdaki komutları çalıştırdıktan sonra “show full-configuration “ yazdığınızda resimde ki komutları göreceksiniz. Aşağıdaki komutları CLI’da uygulayın.
config vpn ssl settings
set servercert “Fortinet_Factory”
set tunnel-ip-pools “SSLVPN_TUNNEL_ADDR1”
set tunnel-ipv6-pools “SSLVPN_TUNNEL_IPv6_ADDR1”
set source-interface “port10”
set source-address “all”
set source-address6 “all”
set default-portal “full-access”
config authentication-rule
set port 10443
edit 1
set groups “SSL TEST”
set portal “SSL TEST”
end
end
5. Statik Route Tanımlama
Statik route ayarlarına giderek SSL VPN için gerekli tanımları yapın.
6. Firewall Policy Ekleme
Aşağıdaki komutlarla bir firewall policy oluşturun.
config firewall policy
edit 0
set name “ssl vpn”
set srcintf “ssl.root”
set dstintf “port10”
set action accept
set srcaddr “all”
set dstaddr “all”
set schedule “always”
set service “ALL”
set logtraffic all
set groups “SSL TEST”
next
end
7. FortiClient Ayarı
Son olarak, FortiClient’a bağlanın. Remote Gateway ve Customize Port bilgilerini girin. Kullanıcı adı olarak oluşturduğunuz kullanıcıyı kullanarak bağlantıyı tamamlayabilirsiniz.
Hiç yorum yok:
Yorum Gönder