Одного разу один старий шаман зібрав своє плем’я біля багаття і сказав: «Послухайте старовинну казочку, яка показує на щось з того, про що не можна розповісти і розповідає про те, на що не можна вказати».
Поки всі намагалися зрозуміти сенс того, що вони почули, шаман запалив люльку і почав свою розповідь:
«Колись давно, ще коли технічні машини починали бороздити простори інформаційного всесвіту, а весь світ охопив технічний прогрес…»
Шаман, як і годиться древньому старцю, говорив довго і незрозуміло. Тому, щоб не заплутати вас і себе, переповімо лише коротко цю історію про єнотиків.
В одному великому лісі мешкало 10 єнотів-інженерів, 5 з них працювали на пихатого та ледачого ведмедя, якого цікавили лише гроші, і лише ті, що є зараз, він не думав про майбутнє. А інші 5 – працювали в сучасній компанії, яка завжди піклувалася про своїх працівників (як мінімум через те, що вони приносять ті самі гроші). І ось одного разу в лісі сталася біда. Страшний вірус, який вражав всіх звірів з неймовірною швидкістю. То і що ви собі думаєте? З 10 єнотів залишилось лише 5… І ті 5 єнотиків що були розумними та вирішили працювати вдома щоб виконувати всі свої обов’язки, але не ризикувати власною шкіркою, та не контактували з потенційно хворими звірями.
“То ким з цих єнотів хочете бути ви?” – спитав шаман.
А поки ви думаєте, спробуємо розповісти, як максимально зручно й швидко надати віддалений доступ до всієї інфраструктури та бути розумним єнотиком та налагодити роботу вдома швидесенько без шуму та пилу.
Маємо такий сетап – існує два офіса, в кожному встановлено Fortigate, між офісами налагоджено IPSEC VPN. Один з офісів є “головним” та приймає підключення SSL VPN від наших модільних користувачів.
Почнемо з головного офісу та налагодимо SSL VPN.
Приклад як налагодити SSL VPN через GUI
Тепер наші працівники, що працюють з дому (ми дуже на це сподіваємось), можуть підключатись до внутрішньої мережі компанії завдяки SSL VPN через неймовірно зручний Forticlient. І наче все добре, але є одна проблема…
Коли працівники були в офісі, вони могли відразу отримувати доступ до другої мережі , на іншому кінці IPsec site-to-site VPN. То невже треба переналаштовувати IPsec тунель знову? Зовсім ні! На допомогу прийде славносвісний NAT(як один із варіантів швидкоої організації доступу).
Все, що треба зробити, це створити ще одну політику на Fortigate.
Уявимо, що це політика для доступу на другий офіс->
Локальна мережа 10.1.1.0/24.
Це вся інформація, що нам треба. Тепер створюємо Policy.
Виглядати вона буде так->
Тобто все неймовірно просто! Треба створити політику для доступу з SSL-VPN на другий офіс, ввімкнути NAT, обрати динамічний ip pool, після цього, створити його як зображено на малюнку:
В IP Range – вписуємо будь-які вільні адреси з вашої саме локальної мережі.
Після цього, користувачі, які будуть підключені до вашого офісу через SSL-VPN, зможуть напряму потрапляти у мережу другого офісу.
Тепер всі наші єноти в теплі та безпеці, та бізнес-процеси не зупиняються.
P.S. Як казав шаман, карма відрізняється від кишені турбулентністю.