Fortigate-110C 建立 VPN (Tunnel Mode)

Fortigate-110C v5.2.5,build701 建立 Web-only Mode VPN (韌體更新步驟)
因學校人數不多建立最簡單的本機帳號，有需要的人申請建立帳號即可。
學務系統在校外資網中心雲端主機。

參考文件 (資網中心 → 8-8-1技術或資安文件 → Fortigate 200D SSL VPN 設定說明...)
http://www.tc.edu.tw/docs/download/id/11889

"Tunnel Mode" 和 "Web-only Mode" 大部分步驟相同，因已先完成 "Web-only Mode"，所以大部分物件或規則已建立。

1. 建立相關位址物件 (已建立)
   操作步驟：政策&物件 → 物件 → 位址 → Create New
   
1. 防火牆 IP
   
   
2. 學校網段 (本校也是後半C)
   

   
3. 學務系統 (位於資網雲端主機)
   

   
4. 公文整合系統 (不開放 VPN 可以不用設)
   

   
5. VPN 要使用的 Private IP (Tunnel 連線時要用的，須避開一般家用分享器常用的網段)
   

   
2. 建立相關服務物件 (已建立)
   操作步驟：政策&物件 → 物件 → 服務 → Create New
   
1. 新增一個服務物件：
   PORT 號自訂 (預設10443)
   
   
3. 設定靜態路由 (新建立)
   操作步驟：路由設定 → 靜態路由 →  靜態路由  → Create New
   
   
   建立與 1-5 相同範圍網段，Tunnel 使用者會被歸類到 ssl.root 介面。
   

   
4. 新增使用者帳號 (已建立)
   操作步驟：用戶與設備 → 用戶 → 用戶認證 → Create New
   
   
1. 用戶類型：本地用戶
   
   
2. 用戶憑據：輸入帳密
   

   
3. 聯繫方式：可省略
   

   
4. 額外信息：確定啟用 → 完成
   如果已建立群組可直接勾選用戶群組方便管理。
   

   
5. 新增使用者群組  (已建立)
   操作步驟：用戶與設備 → 用戶 → 用戶群組 → Create New
   
1. 用戶名：自訂
   類型：防火牆
   成員：按 "＋" 新增，可以使用 Ctrl 複選。
   
   
6. 新增門戶網站 (用戶登入成功後的畫面，部分修改)
   操作步驟：VPN → SSL → 門戶網站 → Create New
   
1. 用戶名：自訂
   啟用 "啟動隧道模式 → 啟動切分隧道" 避免過多封包經過學校。
   
   只有 "路由地址" 的封包會經由 "來源 IP Pools" 轉送，此時才會經過學校，沒有在 "路由地址" 的封包還是會由原來的路徑傳送。
   與講義不同，學務系統在校外網段，所以需加入 "路由地址"。
   加入校內網段讓使用者可以如同在校內使用網路磁碟機...等設備。
   加入公文整合讓使用者可以在家安裝公文系統，不受行動辦公室限制。
   

   
2. 新增門戶網站最下面的 "確定" 要記得按。
7. 設定 SSL VPN  (已建立)
   操作步驟：VPN → SSL → 設定
   
1. 連線設置
   介面監聽：只監聽 Public IP 的 WAN1 介面
   Listen on port：10443 (預設監聽埠號)
   
   
2. 隧道模式客戶端設置
   指定自定義IP範圍為 VPN_SSLVPN_TUNNEL、指定 DNS Server，未架設 WIN Server 就不指定。
   

   
3. 認證/入口網 對應
   Creaste New → 指定 "用戶/群組"、"Portal"
   

   
4. 最下面要記得按 "採用" → "確定"。
8. 建立防火牆規則(至少3條規則，因 sfs 在校外需要第4條規則，已建立)
   操作步驟：政策&物件 → 政策 → IPv4 → Create New
   
1. 規則一：允許來自 ssl.root 介面的 all IP 位址，用戶群組是 VPN_Group 者對 ssl.root 介面的 VPN_SSLVPN_TUNNEL IP 位址放行。
   不啟用 NAT。
   
   
2. 規則二：允許來自 wan2(校外) 介面的 all IP 位址對 wan1(校內) 介面的防火牆 FAC-firewall (FG-110C) 放行 VPN_TCP_10443。
   不啟用 NAT。
   (與講義不同：HTTPS、PING ...服務已寫在別的規則中)
   

   
3. 規則三：允許來自 ssl.root 介面的 all IP 位址，用戶群組是 VPN_Group 者對 wan1(校內) 介面的 LAN-校內網段 IP 位址放行。
   不啟用 NAT。
   

   
4. 規則四：允許來自 ssl.root 介面的 all IP 位址，用戶群組是 VPN_Group 者對 wan2(校外) 介面的 "PASS-odis-公文整合"、"SERVER-SFS" IP 位址放行。
   啟用 NAT 帶 Public IP 到上面放行網站。
   
   啟用 NAT，使用動態 IP Pool，按 "＋" 設定一個 Public IP 對外連線用。
   如果前面第3個步驟已建立 IP Pool 可以直接選用。
   

   
   IP Pool 可在"政策&物件 → 物件 → IP Pool" 查詢修改
5. 因為學務系統在校外，如果僅開放 "學務系統" 和 "公文整合"，不開放校內的其他服務，似乎不需要規則三。
9. 測試結果
1. 校外的學務系統成功。電子公文未測。
2. 校內的網路磁碟機連線失敗，可能是 IP 帶 192.168.212.x 的關係。
   是因為 Samba 採明碼傳送，才無法連線。
3. Proxmox Virtual Environment 也可以用。
4. 防火牆登入帳號加入信任主機 192.168.212.0/24 成功。