Ssl Vpn konfigurasyonunda öncelikle Sslvpn yapmasına izin vereceğimiz kullanıcıları oluşturuyoruz.
User & Device a gelip User Definition dan Create New ile user oluşturalım…
Bu ekranda userları dilersek kendimiz local oluşturabilir veya remote olarak LDAP, Radius, Tacacs+ Sunucudan çekebiliriz.
Fortigate 5.4 SSL VPN Kurulumu
Bu kısımda userlar’a isim ve şifre tanımlıyoruz. test1 kullanıcısı oluşturup şifre tanımladık.
Next…
Burada herhangi bir değer girmeden next diyerek devam ediyoruz.
Oluşturduğumuz user accountunu enable yaparak create dedikten sonra kullanıcıyı oluşturmuş olduk.
Bu şekilde user1, user2 kullanıcılarını oluşturduk.
Daha sonra User Groups a gelerek bu kullanıcıları topladığımız istediğimiz zaman yeni kullanıcı ekleyip çıkarmamıza olanak sağlaması için grup oluşturacağız. Bu grup sayesinde bundan sonra sslvpn i kullanımı için ekleyeceğimiz ya da çıkaracağımız her kullanıcıyı herhangi bir policy ya da sslvpn ayarlarında değişiklik yapmadan grubun içine atarak ya da çıkartarak kolayca halledebileceğiz.
Biz kullanıcıları localde oluşturduğumuz için type olarak firewall ı seçip memberdan kullanıcılarımızı gruba ekliyoruz. Ok diyerek tamamlıyoruz.
Policy & Objects > Adresses bölümünden kullanıcılarımızın sslvpn kullanarak ulaşmasını istediğimiz network adresini bu formattaki gibi tanımlıyoruz.
Sslvpn bağlantısı kurduğumuzda bize tunnel adres atanır. Bunu dilersek kendimiz spesifik olarak kendimiz oluşturabilir veya defaultta olan adresi kullanabiliriz. Defaulttaki adres aralığı az ip adresini kapsadığı için bu aralığı genişletebiliriz bunun için
SSLVPN_TUNNEL_ADDR1 olarak kayıtlı olan adresi edit diyerek ip aralığını düzenliyoruz.
Şimdi Vpn için ayarlamaları yapacağız.
Öncelikle VPN > SSL-VPN Portals a gelip full accessi editliyoruz. Enable Split tunneling i enable edip Routing adres kısmında biraz önce oluşturduğumuz kullanıcılarımızın ulaşmasını istediğimiz network adresini seçiyoruz.
Not:Ssl vpn tüneli oluştururken Enable Split Tunnel i enable etmez iseniz tüm internet trafiği Fortigate cihazına gidecektir böyle bir durumda security profilleri tanımlamanız gerekecektir.
Enable Split Tunneling, kullanıcıların ssl vpn trafiği ile internet trafiğini ayırt etmek için kullanılır. Bağlantı yapan kullanıcıların bağlantıyı sağladıklarında, kendi üzerlerinden internete çıkmaya devam etmelerini sağlar. Eğer bu kutucuktaki işaret kaldırılırsa vpn ile bağlanan kullanıcılar, bağlandıkları yer üzerinden internete çıkmaya çalışacaklardır.
Bu durumda ayrıca policy tanımlaması yapılması gerekmektedir.
Source IP Pools olarak kullanıcılarımızın alması için düzenlediğimiz SSLVPN_TUNNEL_ADDR1 i seçiyoruz. Ok diyerek portal ayarını tamamladık.
VPN > SSL-VPN Setting e gelerek ayarları düzenledik.
Dışarıdaki kullanıcılar wan1 internet hattımız üzerinden networke ulaşım sağlayacağı için Listen on İnterface i wan1 seçtik. Birden fazla wan hattınız varsa ve o hatlar üzerinden de ulaşmasını isterseniz onları da seçmelisiniz.
Listen on Portu değiştirmekte yarar var. Burada 10443 ü gösterdik. Adress Range için ise Automatically assign address i source ip pools da gösterdiğimiz adres.
Authentication da create new diyerek oluşturduğumuz grubu seçip portalı full Access veriyoruz
All other users/groups a ise web acces veriyoruz.
Vpn için gerekli ayarlamaları yaptıktan sonra policy oluşturmamız gerekli.
Policy & Objects > IPv4 Policy > Create New
Outgoing interface de kullanıcıların ulaşmasını istediğimiz network’ün bulunduğu interface i seçiyoruz.
Son adım olarak Network > Static Routes > Create New static route oluşturduk.
Destination olarak SSLVPN_TUNNEL_ADDR1 adresinde oluşturduğumuz ip aralığının networkünü device olarak ssl.root interface ini seçerek aşağıdaki gibi oluşturduk.
Artık sslvpn i kullanmaya başlayabiliriz.
Bunun için bilgisayarımıza Forticlient ı indirdik.
Download: https://forticlient.com/downloads
Server address e wan1 static ip ve sslvpn settings de tanımladığımız portu yazdık ve Sslvpn için oluşturduğumuz kullanıcı ile bağlantıyı sağladık.
