SSL-VPNの設定

こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティエンジニアになるため勉強中です。

今回のテーマはFortigateのSSL-VPNを使って外部から、家のネットワークに接続してみようと思います。

FortigateのSSL-VPNには、Webアクセスモードとトンネルモードがあり、Webアクセスはその名の通り、Webブラウザの画面より、内部にアクセスするモードことです。
トンネルモードはFortiClientというアプリケーションを使用して内部にアクセスするモードです。

前提条件

SSL-VPNを使用するためには、接続するための「グローバルIPアドレス」が必要となります。

 

今回の構成は以下のようになります。

構成図

それでは、さっそく設定していきましょう。

Fortigate側手順

1.「ユーザ&デバイス」>「ユーザ定義」>「新規作成」でSSL-VPNで使用するユーザを作成します

2.「VPN」>「SSL-VPNポータル」>「新規作成」で以下のように設定します。

内容
名前 TEST
トンネルモード 有効
スプリットトンネリングを有効 有効
ルーティングアドレス PC(192.168.41.105)
送信元IPプール SSLVPN_TUNNEL_ADDR1
Webモード有効 無効

 

3.「VPN」>「SSL-VPN設定」を選択し、以下のように設定

内容
Listenするインタフェース wan1
Listenするポート 44445
アクセスを制限 任意のホストからアクセス許可
トンネルモードクライアント設定 自動的にアドレス割り当て
認証/ポータルマッピング ユーザ/グループ:shin
ポータル:TEST

4.続いてポリシーを作成します。
「ポリシー&オブジェクト」>「IPv4ポリシー」>「新規作成」

内容
入力インターフェース SSL-VPNトンネルインターフェース
出力インターフェース internal
送信元

SSL-VPN_TUNNEL_ADDR1
shin

宛先アドレス PC
サービス ALL
NAT 無効

 

これで、Fortigate側の設定は以上です。

続いて、クライアント端末側の設定に行きます。

クライアント側手順

1.Fortigateへアクセスし、「ライセンス情報」>「FortiClient」>「Windows」をクリックします

2.「FortiClientInstaller-Windows.exe」がダウンロードされる

3.ダウンロードされたアプリケーションを実行し、インストールします

4.インストール完了後、「FortiClient」を実行

5.「リモートアクセス」を選択

6.以下の設定を入力し、保存を選択

内容
VPN SSL-VPN
リモートGW グローバルIPアドレス or FQDN
ポート番号 44445

7.「ユーザ名」、「パスワード」を入力し、「接続」を選択

8.「はい」を選択
※今回の設定では、証明書を使用していないため、警告が発生します。

9.「VPN接続済み」が表示されていれば、無事接続されています

10.設定したIPアドレスが付与されているか「ipconfig」で確認します
ルートも併せて確認するため、「netstat -r」を実行

以上で、SSL-VPNの設定は終わりです。

意外と簡単に外部から接続することが出来ますね。
あとは、どこからでも接続できるため、個人ではいいかもしれませんが、企業などで使用する場合セキュリティをもっと強化するため、クライアント証明書を導入するなどして特定の端末からしかアクセスできないようにする必要がありますね。

個人で利用する場合でも、グローバルIPアドレスが動的だとIPアドレスが変わってしまうため、固定IPアドレスを契約するか、DDNSを利用する必要がありますね。

もし、外部ネットワークから内部ネットワークに接続したいよという方がおりましたら、メールでご連絡ください。

以下の参考書にも設定内容がありますので、気になる方はチェックしてみてください。(2020/3/27 追記)

FortiGateで始める 企業ネットワークセキュリティ