SSL VPN

Создание группы пользователей

Чтобы создать пользователей, которым будет предоставлен удалённый доступ и которые смогут воспользоваться технологией SSL VPN:

1. Перейдите в поле User & Authentication → User Definition → Create New.
2. Создайте локального пользователя, укажите имя пользователя и пароль, при необходимости контактную информацию.
3. Объедините созданных пользователей в группу.
4. Для создания группы пользователей перейдите в поле User & Authentication → User Groups → Create New.
5. Укажите имя группы, тип Firewall и членов группы, созданных ранее.

Создание SSL VPN туннеля

Для создания SSL VPN туннеля:

1. Перейдите в поле VPN → SSL-VPN Portal → Create New.
2. Укажите название, включите Tunnel Mode.
3. В поле Source IP Pools укажите пул адресов (IP Range), которые будут присваиваться удалённым пользователям. Можно добавить пул, созданный по умолчанию SSLVPN_TUNNEL_ADDR1, или собственный, настроенный аналогичным образом.

В настройках портала также можно включить проверки клиентов, ограничить определенные версии ОС и задать другие параметры подключения клиентов.

Split mode

Чтобы создать split tunnel, где трафик направляется только в назначенную сеть:

1. Активируйте Enable Split Tunneling.
2. Выберите Routing Address, чтобы определить сеть назначения, которая будет маршрутизироваться через туннель, то есть к этим адресам будет доступ у удалённых клиентов.
3. Нажмите + и выберите адрес из существующих.
4. Для создания адреса во всплывающем окне нажмите кнопку Create или в поле Policy & Objects → Addresses → Create New.

Full mode

Если необходим full mode tunnel, при котором весь трафик удалённых клиентов будет проходить через FortiGate, параметр Enable Split Tunneling нужно отключить.

Web mode

Другой настройкой является параметр Enable Web Mode, позволяющий включить режим web. Здесь можно также выбрать:

• название портала (поле Portal Message);
• оформление;
• другие настройки.

Наибольший интерес представляет поле User Bookmarks — опция позволяет пользователям создавать свои закладки. В поле Predefined Bookmarks можно создавать закладки централизованно для всех пользователей. Например, можно создать закладку для подключения к удалённому рабочему столу по протоколу RDP. На этом настройка самого SSL Tunnel завершается.

Настройки общих параметров SSL VPN

Для настройки общих параметров SSL VPN:

1. Перейдите в поле VPN → SSL-VPN Settings.
2. Укажите “слушающий” интерфейс, то есть внешний интерфейс, на который будут приходить соединения от удаленных пользователей (в данном примере — wan1), и порт, по которому они будут подключаться. Обратите внимание! При определении порта, он может совпадать с другими, которые определены для административного доступа. Например, по умолчанию указывается 443, что может конфликтовать с HTTPS портом, при этом FortiGate выведет следующее сообщение:
3. Укажите в параметре Restrict Access значение Allow access from any hosts или, при необходимости ограничить доступ, нажмите Limit access to specific hosts и предоставьте доступ конкретным хостам.
4. Укажите период бездействия, после которого пользователь будет принудительно отключаться от VPN, включив параметр Idle Logout и определив значение в параметре Inactive For, по умолчанию это 300 секунд.
5. Выберите сертификат для параметра Server Certificate. Этот сертификат используется для аутентификации и шифрования трафика SSL VPN. По умолчанию это встроенный Fortinet_Factory. Со встроенным сертификатом работа возможна, но пользователи увидят предупреждение, что сертификат некорректен, так как в хранилище сертификатов нет CA сертификата, который подписал текущий SSL сертификат. Рекомендуется приобрести сертификат для вашего сервера и загрузить его для аутентификации.

Добавление сертификата для аутентификации

Для добавления сертификата:

1. Перейдите в раздел System → Certificates.
2. Убедитесь, что в System → Feature Visibility включено Certificates.
3. Выберите Import → Local Certificate.
4. В появившемся окне установите Type — Certificate.
5. Загрузите Certificate file и Key file для вашего сертификата и введите пароль в поле Password.
6. Сертификат сервера появится в списке Certificates.
7. Установите CA сертификат — это сертификат, который подписывает как сертификат сервера, так и сертификат пользователя, например, для аутентификации пользователей SSL VPN. Для этого в разделе System → Certificates выберите Import → CA Certificate.
8. В появившемся окне установите Type — File и загрузите файл сертификата.
9. CA сертификат появится в списке External CA Certificates.

Настройте пользователей PKI и группу пользователей, чтобы использовать аутентификацию по сертификату, для чего используйте CLI для создания пользователей PKI:

Убедитесь, что subject совпадает с именем пользователя сертификата. Когда вы создаете пользователя PKI, в графический интерфейс добавляется новое меню, где можно продолжить настройки.

Перейдите в User & Authentication → PKI, чтобы выделить нового пользователя.

Нажмите Edit, чтобы отредактировать учетную запись пользователя и установить Two-factor authentication.

Проследите, чтобы данный пользователь был в группе пользователей для SSL VPN, созданной ранее (см. пункт Создание группы пользователей).

Также можно проверять сертификаты удаленных пользователей, включив параметр Require Client Certificate. В разделе Authentication/Portal Mapping необходимо сопоставить SSL портал с группой пользователей. По умолчанию все пользователи имеют доступ в одинаковые порталы. Данная таблица позволяет сопоставлять разные порталы разным группам пользователей. Создайте новую запись в таблице, нажав Create New и определив портал и группу пользователей. После настройки нажмите Apply и приступайте к созданию политики безопасности.

Настройка политики

Для того, чтобы пользователи успешно подключались к нашему VPN и имели необходимый доступ, нужно создать политику, разрешающую доступ из интерфейса ssl.root в интерфейс локальной сети:

1. Перейдите в поле Policy & Objects → Firewall Policy → Create New.
2. Укажите имя политики, в качестве входящего интерфейса должен быть SSL-VPN tunnel interface(ssl.root).
3. Выберите исходящий интерфейс, в данном случае это внутренний интерфейс lan.
4. В поле Source выберите созданную ранее группу пользователей, в данном случае это SSLVPNGROUP, и адресный объект all.
5. В поле Destination выберите необходимую локальную сеть.
6. Укажите необходимые сервисы и сохраните политику.

Настройка FortiClient

Клиент FortiNet FortiClient можно бесплатно скачать на официальном сайте. FortiClient совместим со множеством платформ, на каждой из которой доступно бесплатное использование SSL VPN. Для клиента также можно приобрести лицензию, которая предоставляет дополнительные возможности и техническую поддержку. С особенностями использования и совместимости можно ознакомиться также на официальном сайте в разделе Technical Specification.

Для настройки подключения на клиенте:

1. Перейдите в раздел REMOTE ACCESS и выберите SSL-VPN.
2. Укажите имя подключения, IP адрес FortiGate, порт, по которому подключается клиент (его настраивали в пункте Настройки общих параметров SSL VPN).
3. При необходимости выберите сертификаты и параметры аутентификации (либо запрашивать логин и пароль при каждом подключении, либо сохранить логин).
4. Сохраните данное подключение.
5. Попробуйте подключиться, указав имя подключения, имя пользователя и пароль.
6. При успешном подключении должно появиться следующее окно:

Если ранее у SSL-портала был разрешён web mode, то подключиться можно как с помощью браузера, так и использовать созданную закладку без использования FortiClient:

1. Введите в адресной строке адрес вашего FortiGate и порт, по которому доступно подключение (см. в пункте Настройки общих параметров SSL VPN).
2. Авторизуйтесь, введя имя пользователя и пароль.
3. При успешном подключении появится следующее окно с закладкой.

Подключение к бесплатным серверам VPN Gate с помощью SoftEther VPN

Данное руководство показывает, как использовать клиентское приложение SoftEther VPN для подключения к бесплатным серверам ретрансляции VPN Gate. Это очень простой, удобный и быстрый способ для установки VPN подключения. Обратите внимание, что SoftEther VPN работает только в системах Windows.

Подключение к VPN Gate с помощью SoftEther VPN

1. Установите клиентское приложение SoftEther VPN с плагином VPN Gate

На странице приложения выберите Скачать > SoftEther VPN Client + VPN Gate Client Plugin (Windows). После загрузки файла распакуйте содержимое архива в папку. Как показано на скриншоте, в папке будет несколько файлов библиотек и установочная программа.

Запустите установщик “ vpngate-client-. ” и следуйте подсказкам мастера установки.

Выберите SoftEther VPN Client на экране Select Software Components to Install. После завершения установки, на рабочем столе будет создана иконка SoftEther VPN Client Manager .

2. Запустите плагин VPN Gate и подключитесь к серверу

Дважды щелкните иконку SoftEther VPN Client Manager на рабочем столе.

Как показано на скриншоте, в основном окне вы увидите строчку VPN Gate Public VPN Relay Servers. Дважды щелкните по ней.

Когда появятся уведомления, продолжайте настройку.

Поставьте галочку для Enable the VPN Gate Relay Service and Join the VPN Gate Research as a Volunteer, чтобы подключиться к службе VPN Gate в качестве волонтера.

Далее нажмите Agree, чтобы подтвердить предупреждение о том, что в некоторых странах использование VPN может быть незаконным.

Затем запустится компонент VPN Gate Academic Experiment Project Plugin for SoftEther VPN Client.

На данном экране вы можете увидеть список текущих открытых серверов VPN Gate. Этот список идентичен списку на основной странице VPN Gate. Выберите один из серверов и нажмите кнопку Connect to the VPN Server.

Если выбранный сервер VPN Gate поддерживает протоколы TCP и UDP, то появится следующий экран. Выберите один из протоколов.

Если VPN соединение будет установлено успешно, появится следующее сообщение. Окно автоматически закроется через 5 секунд. Если вы не смогли подключиться к какому-либо серверу, попробуйте использовать другой сервер.

3. Интернет без ограничений

Когда подключение VPN установлено, в системе Windows создается Виртуальный Сетевой Адаптер — VPN Client Adapter — VPN. Этот адаптер получит IP-адрес, который начинается с “10.211”. Виртуальный адаптер получит адрес шлюза по умолчанию.

Вы сможете проверить конфигурацию сети, запустив команду ipconfig /all в Командной строке Windows.

Когда соединение установлено, весь сетевой трафик будет проходить проходить через VPN-сервер. Убедиться в этом вы сможете с помощью команды tracert 8.8.8.8 в командной строке Windows.

Как показано на скриншоте выше, если пакеты проходят для «10.211.254.254», значит ваше подключение ретранслируется через один из серверов VPN Gate. Вы также можете перейти на основную страницу VPN Gate, чтобы посмотреть глобальный IP-адрес. Вы сможете посмотреть видимое из сети местоположение, которое будет отличаться от вашей фактической локации.

При подключении к VPN вы сможете посещать заблокированные веб-сайты и играть в заблокированные игры.

Пользователям устройств Mac, iPhone / iPad или Android нужно выбрать другой способ для подключения: