因學校人數不多建立最簡單的本機帳號,有需要的人申請建立帳號即可。
學務系統在校外資網中心雲端主機。
參考文件 (資網中心 → 8-8-1技術或資安文件 → Fortigate 200D SSL VPN 設定說明...)
http://www.tc.edu.tw/docs/download/id/11888
- 建立相關位址物件
操作步驟:政策&物件 → 物件 → 位址 → Create New
- 防火牆 IP
- 學校網段 (本校也是後半C)
- 學務系統 (位於資網雲端主機)
- 公文整合系統 (不開放 VPN 可以不用設)
- VPN 要使用的 Private IP (Web-only Mode用不到,但是將來Tunnel Mode要用)
- 建立相關服務物件
操作步驟:政策&物件 → 物件 → 服務 → Create New
- 新增一個服務物件:
PORT 號自訂 (預設10443)
- 建立 IP Pool 做為 VPN 對外連線的 IP,因連線校外的學務系統需要,須為校內 Public IP。記此篇筆記時是到最後才從防火牆規則建立,所以沒有截圖。
操作步驟:政策&物件 → 物件 → IP Pool → Create New - 新增一個 IP Pool 物件:
- 新增使用者帳號 (因學校人數不多建立最簡單的本機帳號)
操作步驟:用戶與設備 → 用戶 → 用戶認證 → Create New
- 用戶類型:本地用戶
- 用戶憑據:輸入帳密
- 聯繫方式:可省略
- 額外信息:確定啟用 → 完成
如果已建立群組可直接勾選用戶群組方便管理。
- 新增使用者群組
操作步驟:用戶與設備 → 用戶 → 用戶群組 → Create New
- 用戶名:自訂
類型:防火牆
成員:按 "+" 新增,可以使用 Ctrl 複選。
- 新增門戶網站 (用戶登入成功後的畫面)
操作步驟:VPN → SSL → 門戶網站 → Create New
- 用戶名:自訂
暫時取消 "啟動隧道模式" 測試沒問題再啟用。
取消 "包括連接工具"、"包括的FortiClient下載"、"提示手機用戶下載的FortiClient應用程式",有需要再勾選。
- 預設書籤
操作步驟:Create New
Category:分類目錄
輸入用戶名、類型、URL、描述...等相關資料 → 確定
- 新增門戶網站最下面的 "確定" 要記得按。
- 設定 SSL VPN
操作步驟:VPN → SSL → 設定
- 連線設置
介面監聽:只監聽 Public IP 的 WAN1 介面
Listen on port:10443 (預設監聽埠號)
- 隧道模式客戶端設置
指定自定義IP範圍為 VPN_SSLVPN_TUNNEL、指定 DNS Server,未架設 WIN Server 就不指定。
- 認證/入口網 對應
Creaste New → 指定 "用戶/群組"、"Portal"
- 最下面要記得按 "採用" → "確定"。
- 建立防火牆規則(至少3條規則,因 sfs 在校外需要第4條規則)
操作步驟:政策&物件 → 政策 → IPv4 → Create New
- 規則一:允許來自 ssl.root 介面的 all IP 位址,用戶群組是 VPN_Group 者對 ssl.root 介面的 VPN_SSLVPN_TUNNEL IP 位址放行。
不啟用 NAT。
- 規則二:允許來自 wan2(校外) 介面的 all IP 位址對 wan1(校內) 介面的防火牆 FAC-firewall (FG-110C) 放行 VPN_TCP_10443。
不啟用 NAT。
(與講義不同:HTTPS、PING ...服務已寫在別的規則中)
- 規則三:允許來自 ssl.root 介面的 all IP 位址,用戶群組是 VPN_Group 者對 wan1(校內) 介面的 LAN-校內網段 IP 位址放行。
不啟用 NAT。
- 規則四:允許來自 ssl.root 介面的 all IP 位址,用戶群組是 VPN_Group 者對 wan2(校外) 介面的 "PASS-odis-公文整合"、"SERVER-SFS" IP 位址放行。
啟用 NAT 帶 Public IP 到上面放行網站。
啟用 NAT,使用動態 IP Pool,按 "+" 設定一個 Public IP 對外連線用。
如果前面第3個步驟已建立 IP Pool 可以直接選用。
IP Pool 可在"政策&物件 → 物件 → IP Pool" 查詢修改 - 因為學務系統在校外,如果僅開放 "學務系統" 和 "公文整合",不開放校內的其他服務,似乎不需要規則三。
沒有留言:
張貼留言