Категорії:
fortigate vpn
Автор:
Dasha
03 Квітня, 2021

Одного разу один старий шаман зібрав своє плем’я біля багаття і сказав: «Послухайте старовинну казочку, яка показує на щось з того, про що не можна розповісти і розповідає про те, на що не можна вказати».

Поки всі намагалися зрозуміти сенс того, що вони почули, шаман запалив люльку і почав свою розповідь:

«Колись давно, ще коли технічні машини починали бороздити простори інформаційного всесвіту, а весь світ охопив технічний прогрес…»

Шаман, як і годиться древньому старцю, говорив довго і незрозуміло. Тому, щоб не заплутати вас і себе, переповімо лише коротко цю історію про єнотиків.

В одному великому лісі мешкало 10 єнотів-інженерів, 5 з них працювали на пихатого та ледачого ведмедя, якого цікавили лише гроші, і лише ті, що є зараз, він не думав про майбутнє. А інші 5 – працювали в сучасній компанії, яка завжди піклувалася про своїх працівників (як мінімум через те, що вони приносять ті самі гроші). І ось одного разу в лісі сталася біда. Страшний вірус, який вражав всіх звірів з неймовірною швидкістю. То і що ви собі думаєте? З 10 єнотів залишилось лише 5… І ті 5 єнотиків що були розумними та вирішили працювати вдома щоб виконувати всі свої обов’язки, але не ризикувати власною шкіркою, та не контактували з потенційно хворими звірями.

“То ким з цих єнотів хочете бути ви?” – спитав шаман.
А поки ви думаєте, спробуємо розповісти, як максимально зручно й швидко надати віддалений доступ до всієї інфраструктури та бути розумним єнотиком та налагодити роботу вдома швидесенько без шуму та пилу.

Маємо такий сетап – існує два офіса, в кожному встановлено Fortigate, між офісами налагоджено IPSEC VPN. Один з офісів є “головним” та приймає підключення SSL VPN від наших модільних користувачів.

Почнемо з головного офісу та налагодимо SSL VPN.

Приклад як налагодити SSL VPN через GUI

  1. Налаштовуємо адресу на інтерфейсі. Port1 підключено до локальної мережі.
    а)Переходимо до Network->Interfaces та редагуємо інтерфейс wan1.
    б) Налаштовууємо IP/маску мережі наприклад 172.20.120.123/255.255.255.0.
    в) Налаштовуємо адресу 192.168.1.99/255.255.255.0. на port1
    г) Тиснеимо ОК.
  2. Налаштуовуємо користувача та групу.
    а) Переходимо до User & Device -> User Definition та створимо корстувача наприклад sslvpnuser1.
    б) Для того щоб створити групу переходимо до User & Device -> User Groups та створюємо її – sslvpnuser1
  3. Налаштовуємо портал SSL VPN
    Переходемо до VPN -> SSL-VPN Portals та створимо портал my-full-tunnel-portal в режимі tunnel mode.
  4. Налаштовуємо параметри SSL VPN
    a) Переходимо до VPN > SSL-VPN Settings
    б) Встановлюємо Listen on Interface(s) вибираємо wan1.
    в) Встановлюємо Listen on Port як 10443
  5. Створюємо політики файрвола для SSLVPN
    a) Переходимо до Policy & Objects -> IPv4 Policy.
    б) Встановлюємо вхідний інтерфейс як SSL-VPN tunnel interface(ssl.root).
    в) Встановлюємо Outgoing Interface. Як приклад, вибираємо port1.
    г) Встановлюємо Source як all та групу як sslvpngroup.
    д) Встановлюємо Destination наприклад all.
    є) Встановлюємо Schedule як always, Service як ALL, як Action до Accept
    ж) Клікаємо ОК

Тепер наші працівники, що працюють з дому (ми дуже на це сподіваємось), можуть підключатись до внутрішньої мережі компанії завдяки SSL VPN через неймовірно зручний Forticlient. І наче все добре, але є одна проблема…

Коли працівники були в офісі, вони могли відразу отримувати доступ до другої мережі , на іншому кінці IPsec site-to-site VPN. То невже треба переналаштовувати IPsec тунель знову? Зовсім ні! На допомогу прийде славносвісний NAT(як один із варіантів швидкоої організації доступу). 

Все, що треба зробити, це створити ще одну політику на Fortigate.

Уявимо, що це політика для доступу на другий офіс->

Локальна мережа 10.1.1.0/24.

Це вся інформація, що нам треба. Тепер створюємо Policy.

Виглядати вона буде так->

Тобто все неймовірно просто! Треба створити політику для доступу з SSL-VPN на другий офіс, ввімкнути NAT, обрати динамічний ip pool, після цього, створити його як зображено на малюнку:

В IP Range – вписуємо будь-які вільні адреси з вашої саме локальної мережі.  

Після цього, користувачі, які будуть підключені до вашого офісу через SSL-VPN, зможуть напряму потрапляти у мережу другого офісу. 

Тепер всі наші єноти в теплі та безпеці, та бізнес-процеси не зупиняються.

P.S. Як казав шаман, карма відрізняється від кишені турбулентністю.