• 沒有找到結果。

FG400 SSL VPN Tunnel Mode 設定說明 

N/A
N/A
Protected

Academic year: 2022

Share "FG400 SSL VPN Tunnel Mode 設定說明 "

Copied!
28
0
0

加載中.... (立即查看全文)

全文

(1)

FG400 SSL VPN Tunnel Mode 設定說明 

臺中市學術網路管理委員會榮譽委員  沈俊達  壹、功能與優缺點 

除了將學務系統利用防火牆阻擋校外連線要求(port80),只允許校內存取,以增加資安外。教師 在家中時,使用 SSLVPN Tunnel Mode 連入,取得校內 Private IP 位址(當然也可以設定為 Public IP 位址),這時就如同在校內一樣,可以自由自在取用校內網路資源,例如網路磁碟機、病毒碼更 新,甚至連線到網路中心 kms.tc.edu.tw(哈哈!應該知道要做什麼吧!) 

優點:如上所述。 

缺點:除需瀏覽器(IE9 不支援)及 Java runtime 環境外,第一次還需下載安裝 sslvpn.cab ActiveX 元 件。 

貳、本次示範網路架構,感謝光隆國小謝國霖老師提供機器(port3 不一定要有) 

參、建立防火牆位址物件   

操作步驟:防火牆位址新增位址 

一、FG‐400 public ip 位址:以本市目前網路架構就是 port1 的位址   例如:FG400(163.17.221.254) 。 

(2)

二、學校整個 ipv4 網段位址:   

例如:klps_ipv4(163.17.221.0/255.255.255.0) 

三、sslvpn_tunnel_address:請找一段不常使用的 Private IP 位址。   

不能和校內已使用的介面網段相同,也請避開一般家用分享器常用的網段。 

這段 IP 位址是將來使用者建立 tunnel 連線時,要分配給 Client 端的 IP 位址。 

肆、設定靜態路由   

當使用者建立 tunnel 連線時,會被歸類到 ssl.root 這介面,因此必須告知 FG‐400 ssl.root 可以連 接到 192.168.200.0/255.255.255.0 這個網段,這樣封包才能繞送。 

   

 

(3)

伍、建立防火牆服務物件 

操作步驟:防火牆服務用戶自訂新增 

名稱:自由設定    目的埠:10443 

陸、設定 SSL VPN 

操作步驟:VPNSSLSSL 設定 

登入埠號:預設為 10443,建議依照預設值(方便未來 tunnel mode 配合 FortiClient SSLVPN)  DNS 主機和 WINS 主機請設定學校的 DNS Server 和 WINS Server(無 WINS Server 則免) 

(4)

柒、設計書籤及組合書籤群組   

書籤群組是指當隸屬於某個群組的使用者通過帳號密碼驗證後,接下來所看到的頁面中呈現出來 的預設連線捷徑 

一、新增書籤操作步驟:VPNSSL書籤新增 

  1. 示範:建立連線到學務系統的書籤 

2. 示範:建立連線到共用資料夾(網芳、Samba)   

(5)

二、組合書籤群組操作步驟:VPNSSL書籤群組新增   

   

名稱:自行設定 

將前一步驟所新增的書籤右移到使用中的書籤  最後按下允許。 

捌、新增使用者帳號(先示範最簡單的本機帳號,以後再介紹 RADIUS 認證)    操作步驟:使用者認證本機認證新增 

 

(6)

密碼建議至少 6 個字元 

     

玖、新增使用者群組 

操作步驟:使用者認證使用者群組新增 

1.名稱:自訂一個適當的群組名稱   

2.群組類型:SSL VPN 

3.將上一步驟新建的使用者帳號(sslvpn_user1)加入這個群組的成員。 

4.展開 SSL‐VPN User‐SSL 

(7)

 

勾選啟始 SSL‐VPN Tunnel 服務 

允許通道分割:以電子公文簽核及連線 kms.tc.edu.tw 需求來設計的話,此處請勿勾選  啟始網頁應用程式:請勾選您書籤中有用到的服務。 

SSL 標籤:請選擇您要讓這個群組使用的書籤群組。 

最後按下允許。 

壹拾、 建立防火牆規則   

這部分是 Fortigate SSL VPN 設定的最重要觀念,無論是官方文件或是網路上的範例,port2 接 Internet 的位址一定都是 Public IP,port1 接 Internal 的位址一定是 Private IP。但是偏偏學術網路 剛好相反,port2 接 Internet 的位址居然是 Private IP,port1 接 Internal 的位址反而是 Public IP。

所以很多人看了許多文件還是觀念模糊,似懂非懂。因此接下來除了實作外,請務必徹底瞭解每 一個規則的原理。 

操作步驟:防火牆防火牆策略新增 

一、允許 port2(校外)的 all 對 port1(校內真實 IP 網段)的學校整個 ipv4 網段位址,放行 ssl‐vpn 行  為。請注意:圖中 1 號目的位址名稱若設為 all 或 FG400 雖然也都可以達到目的,但是若是 設為 all,將來在 Tunnel Mode 時若採用允許通道分割模式,會出現錯誤(因為無法判斷目的

(8)

網段,就無法調整 client 端路由設定)。若設為 FG400,則稍後書籤會無法連線(因為只能對 163.17.xxx.254 做 ssl vpn 動作) 

最後按下「允許」鈕,就完成 SSL‐VPN 行為的放行     

二、無論是官方文件或是網路上的範例,都指出只要完成這條規則,就可以用 

https://wan2_IP:10443 連線準備登入,可惜的是前面已經說明學校的 port2 是 Private  IP(10.200.xxx.xxx),也就是說只能在市網管轄範圍內 A 校對 B 校進行

https://10.200.16.126:10443(如下面圖片) 

因為您在家中(市網以外),絕對無法連線 10.200.xxx.xxx 這種 Private IP 的。 

(9)

三、為了要能 https://163.17.xxx.254:10443 來出現 SSL‐VPN 登入畫面,必須再增加 2 條規則,這  是因應學術網路目前架構必須的作法。 

四、允許 port2(校外)的 all 對 port1(校內真實 IP 網段)的 FG400(163.17.xxx.254)  放行:port443 和 port10443 

原理:因為我要對 port1 的位址 163.17.xxx.254 進行 https://163.17.xxx.254:10443 連線  當然要放行 port443 和 port10443 

 

(10)

圖中的多個服務只就是:port443 和 port10443 

五、允許 port1(校內)的 FG400 對 ssl‐root 介面的 sslvpn_tunnel_address,放行 ssl‐vpn 行為。  

請注意:圖中 1 號目的位址名稱若設為 all 雖然也可以達到目的,但是若是設為 all,將來若 採用允許通道分割模式,會出現錯誤(因為無法判斷目的網段,就無法調整 client 端路由設定)。 

其實圖中的「目的介面/域名」設為 port1~port4 任何一個介面,都可以。 

原理:這條規則才是真正的 SSL‐VPN,因為前面步驟四對 port1 的 163.17.xxx.254 放行 port443 及 port10443,我們僅能從 port2 以 https://163.17.xxx.254:10443 連線到 port1,因此才需要 從 port1 的 163.17.xxx.254 對任何一介面再做一次 SSL‐VPN 行為。 

 

(11)

六、當使用者建立 Tunnel 連線後,他的電腦會取得 192.168.200.xxx 的 IP 位址,同時被 FG‐400 歸類到來自 ssl‐root 介面。為了讓他可以和 port(校內真實 IP)網段連線, 

請新增策略: 

允許 ssl‐root 的 all 到 port1 的 all 全部放行。(當然您也可以嚴格控管) 

此規則要不要啟用 NAT 都可以,如果不啟用,請記得在學務系統中將 192.168.200.0/24 這段 IP 也設定到校內 IP,如此便可不需登入也可正常瀏覽校內文件。 

七、為了讓他可以和連上 Internet,請新增規則:   

允許 ssl‐root 的 all 到 port2 的 all 全部放行。(當然您也可以嚴格控管) 

記得一定要啟用 NAT(否則你 ssl‐root 介面的 192.168.200.xxx 要如何上 Internet)。 

(12)

而且由於學術網路架構目前 port2 是 10.200.xxx.xxx,所以一定要使用動態 IP Pool(請事先建  立,請看下圖) 

操作方法:防火牆虛擬 IPIP Pool新增 

圖中的 IP 範圍/子網,若流量大,可以多給幾個 IP,並記得網路中心登錄這些 IP 是 NAT 用。 

以避免流量過大被鎖住。 

           

(13)

壹拾壹、 連線示範 

一、https://163.17.xxx.254:10443,IE6 請點選「是」 

IE8 請點選「繼續瀏覽此網站」   

二、輸入帳號密碼   

 

(14)

三、登入成功,但此時並未進入 Tunnel Mode,需要使用者自己按「啟用 SSL‐VPN 通道模式」,才 真正進入校內。(第一次啟用 SSL‐VPN 通道模式,需下載安裝 sslvpn.cab ActiveX 元件,詳細 操作說明,請參閱附錄) 

理論驗證:   

沒有按「啟用 SSL‐VPN 通道模式」之前,可從 SSL‐VPN 監視頁面看到該使用者從 114.46.142.200 登入 

按「啟用 SSL‐VPN 通道模式」之後:   

書籤不見了 

(15)

可從 SSL‐VPN 監視頁面看到該使用者從 114.46.142.200 登入,且取得 tunnel address 為  192.168.200.201 

Clinet 電腦沒有按「啟用 SSL‐VPN 通道模式」之前:   

IP 位址:只有 192.168.0.19 

預設路由是往 192.168.0.1 傳送封包(我家的路由器)   

(16)

  Clinet 電腦按「啟用 SSL‐VPN 通道模式」之後: 

IP 位址:除了 192.168.0.19,新增了 192.168.200.201 

因為沒有採用通道分割模式,所以預設路由改成直接連通的介面 192.168.200.101 傳送封包 

(雖然有兩個預設路由但依據 TCP/IP 規則,Metric 小的為優先),因此所有流量改成由所建立 的 tunnel 傳送到 FG‐400 的 ssl‐root 介面。 

四、開啟新的瀏覽器視窗,連線 ipv6.tc.edu.tw,證明你現在是經由 192.168.200.101 透過 NAT 成  163.17.221.30 連線到 Internet。同理你當然可以連到 kms.tc.edu.tw 及電子公文線上簽核網站,

它們都會認為你來自 163.17.221.30,所以予以放行。 

(17)

五、校內有 O:磁碟連線到\\server\行政文件資料庫,P:磁碟連線到\\server\資源分享區,我現在  也可以在家中建立網路磁碟機了嗎? 

當然可以,因為你已經在「校內」了嘛!(ssl‐root 介面,192.168.200.101) 

 

(18)

就跟在校內使用一樣,相信不會再有老師會喜歡先 FTP 下載,修改完後,再 FTP 上傳了!  

六、建立 tunnel 連線後,書籤就沒有什麼意義了!所以 FG‐400 機型,一旦建立 tunnel 連線後, 

它自動把書籤關閉掉。 

 

壹拾貳、 探討 

一、如果學務系統在 port3 的 Private IP,這時要如何連線? 

答:請記得一個最重要的觀念,建立 tunnel 連線後,Client 電腦會得到一個 192.168.200.xxx 的位址,通時它被歸類到來自 ssl.root 這個介面。 

因此只要新增一條防火牆規則: 

允許 ssl‐root 的 all 對 port3 的 all 全部放行。(當然您也可以嚴格控管)。 

此規則要不要啟用 NAT 都可以,如果不啟用,請記得在學務系統中將 192.168.200.0/24 這段

(19)

IP 也設定到校內 IP,如此便可不需登入也可正常瀏覽校內文件。 

二、如果貴校決定僅採用 Tunnel Mode 方式,建議在設計使用者群組時,只勾選「啟始 SSL‐VPN   Tunnel 服務」,那 FG‐400 會自動在使用者驗證完帳密後,立即自動幫他建立 tunnel 連線。不 需要使用者再按一次「啟用 SSL‐VPN 通道模式」。 

(20)

三、允許通道分割模式的意義和目的:   

如果使用者只是想連入校內使用學務系統及網路磁碟機,同時又保留到其他網路是繼續走 HiNet 等 ISP 業者的線路出去,這時就要在上圖中勾選「允許通道分割」。 

並且把 sslvpn_tunnel_address 改為整個 Class C。(否則無法判斷網段路由) 

驗證理論:   

Clinet 電腦沒有按「啟用 SSL‐VPN 通道模式」之前: 

IP 位址:只有 192.168.0.19 

(21)

預設路由是往 192.168.0.1 傳送封包(我家的路由器)   

Clinet 電腦按「啟用 SSL‐VPN 通道模式」之後:   

IP 位址:除了 192.168.0.19,新增了 192.168.200.201  但是並沒有給這個 IP 網段有預設閘道。 

因為採用通道分割模式,所以預設路由還是往 192.168.0.1 傳送封包(我家的路由器),但是多 

了二筆靜態路由。 

163.17.221.0/255.255.255.0  透過 192.168.200.101 的介面往 FG‐400 傳送  192.168.200.0/255.255.255.0 透過 192.168.200.101 的介面往 FG‐400 傳送 

(22)

也就是只有要到 163.17.221.0/24 的封包,會經由 tunnel 往 FG‐400 的 ssl‐root 介面送  

,其他還是走 192.168.0.1(我家路由器,中華電信線路)。   

 

(23)

   

四、如果採用通道分割模式,但學務系統安裝在 port3(192.168.8.0/24),要如何讓 Client 端電腦 新增一筆靜態路由,告知要到 192.168.8.0/24 網段也要往 FG‐400 的 ssl‐root 介面傳送? 

答:新增一條防火牆規則,允許 port1(校內)的 FG400 對 port3 的 192.168.8,放行 ssl‐vpn 行 為(圖中的 192.168.8 是防火牆位址物件,指的是 192.168.8.0/255.255.255.0)   

從下圖可看到又新增了一筆靜態路由:   

192.168.8.0/255.255.255.0  透過 192.168.200.101 的介面往 FG‐400 傳送 

(24)

   

結語:採用 Tunnel Mode 方式且不使用通道分割模式,可以保證將使用者的所有流量導向 FG‐400 進入校內再出去 Internet,完全可以符合未來電子公文線上簽核要鎖校內 IP 及連線

kms.tc.edu.tw 的驗證需求,所以是目前各校最佳選擇。但是請記得教導老師,一旦建立 tunnel 連線,就是走 TANet 學術網路,因此很多網站是會被鎖住的,記得不需要時,立即登出 SSL‐VPN,

走回 HiNet 等商業網路,才會快速! 

 

2013‐1‐13 

   

(25)

附錄一:第一次啟用 SSL‐VPN 通道模式要安裝 sslvpn.cab 操作說明  1. 提醒你要安裝 SSL VPN tunnel client 請點選「確定」 

2. 出現 sslvpn.cab 下載提醒,請右鍵點選「安裝 ActiveX 控制項」   

 

3. 再按一次「啟用 SSL‐VPN 通道模式」  

4. 點選「安裝」   

5. 安裝完畢,以後只要登入,點選「啟用 SSL‐VPN 通道模式」即可!  

(26)

附錄二:FG‐400 的 SSLVPN 登入畫面,在 IE9 無法正常使用解決辦法 

1. 手動安裝 FortiClient SSLVPN 請執行「SslvpnClient.msi」或「SslvpnClient.exe」 

2. 執行 FortiClient SSLVPN   

3. 點選「Settings」   

4. 點選「New Connection」   

(27)

5. 參考下圖輸入必要資訊(163.17.221.254 後面不加埠號,代表使用預設 port10443)  

  6. 點選「OK」 

(28)

  7. 點選「Connect」,就成功進入 Tunnel Mode 連線。 

     

8. 要中斷連線時,可以點選「Disconnect」或是直接關閉這個軟體也可以。 

參考文獻

相關文件

貴重儀器共同使用服務計畫 105 年度核定 通過 217 件,其中包括汰舊換新及新購設備 22 件,運作服務 195 件,使用總經費 51,304

使其具備故障預測、精度 補償、自動參數設定與自 動排程等智慧化功能,並 具備提供Total Solution及 建立差異化競爭優勢之功

使用木工機器、手提電動工具及手工具,將 選用的實木材依據競賽規定的尺寸大小自行在家

先輸入 netstat –na | more 確認 443 port 是否已在 listen 狀態。如果沒有的話,請以 sudo a2enmod ssl 啟用 apache2 的 ssl 模組,並以 sudo service apache2

建議貴公司採用更保守方法來控制整體型一誤差 於 2.5% (1-sided) level。詳細說明如下:(一)基於 Group Sequential Design 設計原則,若 OS

另一種採用 RADIUS 認證的方法,請參閱 2013 年這篇:FG110C SSL VPN 配合 Windows AD 帳號 認證設定說明 .pdf ,因 LDAP

VAB 使用者無法使用 RIDE 提供的 Filter Design 公用程式設計濾波器,但是 使用 VAB 的 Filter 元件時,在元件特性選單可以直接指定此濾波器的規格,使用

使用者甲與使用者乙約定藉由非對稱加密(asymmetric encryption)進行溝通,假設使用者甲先以