1
FortiOS 5.2 SSL VPN Web-only Mode 設定說明
臺中市政府教育局資訊教育暨網路中心 沈俊達 壹、功能與優缺點
將學務系統利用防火牆阻擋校外連線要求(port80),只允許校內存取,以增加資安。教師在校外 時,需使用SSLVPN 連入,利用 proxy 功能存取學務系統或校內網路磁碟機等內部資源。如果需 要也可以開放讓行政人員晚上及假日可以在家利用proxy 功能簽辦電子公文。
優點:僅需瀏覽器,一般老師容易上手操作。
缺點:無法透過瀏覽器操作的服務,就無法支援。例如:kms 認證。
貳、本次示範網路架構(port1 不一定要有,本校為後半個 Class C)
參、建立位址物件
操作步驟:政策&物件物件位址Create New
一、FG-200D public ip 位址:以本市目前網路架構就是 wan1 的位址 例如:FG-200D(163.17.89.254)
2
二、學校整個ipv4 網段位址:
例如:CLPES_IPv4_ALL(163.17.89.128/255.255.255.128)
三、SSLVPN_TUNNEL_ADDRESS:Web-only Mode 用不到,但是將來 Tunnel Mode 要用,所以先 設定以無妨,請找一段校內沒有在使用的Private IP 位址。
肆、建立服務物件
操作步驟:政策&物件物件服務Create New
3
請新增一個服務物件:TCP_10443
伍、新增使用者帳號(先示範最簡單的本機帳號,以後再介紹 RADIUS 及 LDAP 認證) 操作步驟:用戶與設備用戶用戶認證Create New
本機帳號所以請選擇:本地用戶
4
設定帳號和密碼
可以省略
立即啟用(因用戶群組尚未建立,故先不點選)
5
陸、新增使用者群組
操作步驟:用戶與設備用戶用戶群組Create New
1.用戶名:自訂一個適當的群組名稱 2.類型:防火牆
3.成員:將上一步驟新建的使用者帳號(vpndemo1)加入這個群組的成員。可以使用 Ctrl 複選多 個。
柒、新增門戶網站
門戶網站是指當隸屬於某個群組的使用者通過帳號密碼驗證後,接下來所看到的頁面 操作步驟:VPNSSL門戶網站Create New
以Web-only Mode 來說,建議門戶網站就是放置「狀態訊息」、「登入歷史紀錄」和「預設書
6
籤」三個Widget 即可:
用戶名:為這個門戶網站取一個名字,稍後設定SSL-VPN 時,要指定隸屬於該群組的人登入 後,應該要使用哪一個門戶網站時會用到。
在預設書籤上,點選CreateNew,新增三個書籤
7
完成所有的書籤後,請點選左上角的「OK」,完成這個入口頁面的建置。
8
捌、設定SSL VPN
操作步驟:VPNSSL設定
第一部分:連線設置
介面監聽:請設定為只監聽WAN1 介面 Listen on port(監聽埠號):預設為 10443
第二部分:Tunnel Mode 用戶端設置,地址範圍設定為 SSLVPN_TUNNEL_ADDRESS(192.168.200.x) DNS 伺服器和 WINS Server 請設定學校的 DNS Server 和 WINS Server(無 WINS Server 則免)
9
第三部分:認證/入口網對應
點選Create New
下圖的意思是如果vpn 帳號屬於 vpndemo_users 群組,則使用 web-access 這個門戶網站。
最後記得按下「採用」,出現下圖,按「是」
10
玖、建立防火牆規則(總共 3 條規則)
官方文件的範例,wan2 接 Internet 的位址一定都是 Public IP,wan1 接 Internal 的位址一定是 Private IP。但是偏偏學術網路剛好相反,wan2 接 Internet 的位址居然是 Private IP,wan1 接 Internal 的位址反而是 Public IP。所以很多人看了許多文件還是觀念模糊,似懂非懂。
操作步驟:政策&物件政策IPv4Create New
一、允許來自ssl.root 介面的 all ip 位址,用戶群組是 vpndemo_users 者對 ssl.root 介面的 SSLVPN_TUNNEL_ADDRESS ip 位址放行。
11
二、前面已經說明學校的wan2 是 Private IP(10.xxx.xxx.xxx),為了要能
https://163.17.89.254:10443 來出現 SSL-VPN 登入畫面,必須再增加 2 條規則,這是因應學 術網路目前架構必須的作法。
允許來自wan2(校外)介面的 all ip 位址對 wan1(校內)介面的 FG-200D(163.17.89.254) 放行:port443(https)和 port10443(因為網路中心定時連線偵測要用到 ping)
原理:因為我要對wan1 的位址 163.17.89.254 進行 https://163.17.89.254:10443 連線
12
當然要放行port443 和 port10443
三、允許來自ssl.root 介面的 all ip 位址,用戶群組是 vpndemo_users 者對 wan1(校內)介面的
13
CLPES_IPv4_ALL ip 位址放行。請注意:圖中目的位址名稱若設為 all 雖然也可以達到目的,
但是若是設為all,將來在 Tunnel Mode 時若採用分離通道模式,會出現錯誤(因為無法判斷 目的網段,就無法調整client 端路由設定)。
原理:這樣使用Web-only Mode 的用戶才能連線到校內 163.17.89.128/25 網段。
其實圖中的「目的介面/域名」設為 port1~port16 或 wan1~wan2 任何一個介面,都可以。
例如您的學務系統若是安裝在port1 的 192.168.10.xxx,此處您就要再加一條政策,「目的 介面/域名」設為 port1,目的位址名稱設為 192.168.10.0/24 的網段物件。
14
壹拾、 連線示範
一、https://163.17.89.254:10443,IE 請點選「繼續瀏覽此網站」
Chrome 則先點選「進階」再點選「繼續前往…….」
15
二、輸入帳號密碼
三、登入成功
四、連線學務系統:
請點選「學務系統」書籤,會開出新的視窗以
https://163.17.89.254:10443/proxy/http/sfs3.clpes.tc.edu.tw/sfs3/方式連線學務系統
如此一來,貴校便可將學務系統拒絕從校外直接存取,規定老師一定要從ssl-vpn 連入後,
透過proxy 來連線。
如果您無法連線,請檢查步驟「玖之三」:一定要設為貴校整個ipv4 網段。
16
五、存取網芳資源(共用資料夾或 Samba)
請點選「教師共用區P:」書籤,會開出新的視窗,請輸入登入這台主機的帳密
登入後,可以上傳和下載檔案
17
壹拾壹、 進階探討
一、請問當使用者通過帳號密碼驗證,進入SSLVPN 入口頁面時,他的電腦 IP 位址變更了嗎?
答:沒變,還是原來所在位置ISP 提供的位址,可從 SSL-VPN 監視頁面證明。
二、那這時我連線學校內部網頁,會判斷我是校內還是校外連線?
答:這個分兩個層次來解釋,第一由於是透過
https://163.17.89.254:10443/proxy/http/sfs3.clpes.tc.edu.tw/sfs3/,所以 web server 會認為是 163.17.89.254 這個 proxy 要求連線,所以 web server 會判定是校內,可以發現 log 檔內來源 位址是163.17.89.254。
第二部分則是網頁程式的判讀,學務系統的開發人員太厲害了,即使你透過proxy 連線,
他還是可以正確取得您背後原始的IP 位址,所以還是認定您是在校外,因此校內文件還是 無法觀看(除非登入)。下圖可證明:
三、如果學務系統在port1 的 Private IP,這時要如何連線?
答:新增一條政策
允許來自ssl.root 介面的 all ip 位址,用戶群組是 vpndemo_users 者對 port1 介面的
18
192.168.10.x ip 位址放行。(服務不一定要 ALL,視實際需要開放 80,443port 即可) (圖中的 192.168.10.x 是防火牆位址物件,指的是 192.168.10.0/255.255.255.0)
示範:例如本校port1 為電腦教室網段(192.168.10.0/24),其中有一部交換器 IP 位址為 192.168.10.251
https://163.17.89.254:10443/proxy/http/192.168.10.251
四、可以新增一個書籤連到Internet 嗎?
答:可行,但您確定要提供從校外經由校內去連線校外特定的網站,才做設定。
先新增位址物件:
電子公文網站 210.69.115.0/24
網路中心 163.17.38.0/24 163.17.39.0/24 163.17.40.0/24
19
新增一條政策
允許來自ssl.root 介面的 all ip 位址,用戶群組是 vpndemo_users 者對 wan2(校外)介面的電 子公文網站, 網路中心 ip 位址放行。記得要啟用 NAT。
示範:https://163.17.89.254:10443/proxy/http/ipv6.tc.edu.tw/
可以到資網中心網段喔!而且很明顯是,「使用出去介面地址」
20
但是到不了電子公文網站(因為是 Private ip)
如果你要能夠到電子公文網站,請先找一個或一段的public ip 位址,定義成 IP Pool 物件
然後修改剛剛的政策,在啟用NAT 時,告訴系統「使用動態 IP Pool」並指定剛剛定義的
「sslvpn_public」(意思就是到校外時使用 163.17.89.252 這個 ip 代表)
21
https://163.17.89.254:10443/proxy/http/odisedu.taichung.gov.tw/ 成功連線
測試到網路中心,果然是帶163.17.89.252 出去
22
結語:採用Web-only Mode 是比較快速又安全的做法,如果僅是要滿足將學務系統鎖在校內,或下 班在家簽辦公文,則請使用Web-only Mode 配合書籤即可。
2016-1-3