こんにちは。30代未経験ネットワークエンジニアのshin@セキュリティエンジニアになるため勉強中です。
今回のテーマはFortigateのSSL-VPNを使って外部から、家のネットワークに接続してみようと思います。
FortigateのSSL-VPNには、Webアクセスモードとトンネルモードがあり、Webアクセスはその名の通り、Webブラウザの画面より、内部にアクセスするモードことです。
トンネルモードはFortiClientというアプリケーションを使用して内部にアクセスするモードです。
前提条件
SSL-VPNを使用するためには、接続するための「グローバルIPアドレス」が必要となります。
今回の構成は以下のようになります。
構成図
それでは、さっそく設定していきましょう。
Fortigate側手順
1.「ユーザ&デバイス」>「ユーザ定義」>「新規作成」でSSL-VPNで使用するユーザを作成します
2.「VPN」>「SSL-VPNポータル」>「新規作成」で以下のように設定します。
| 内容 | 値 |
| 名前 | TEST |
| トンネルモード | 有効 |
| スプリットトンネリングを有効 | 有効 |
| ルーティングアドレス | PC(192.168.41.105) |
| 送信元IPプール | SSLVPN_TUNNEL_ADDR1 |
| Webモード有効 | 無効 |
3.「VPN」>「SSL-VPN設定」を選択し、以下のように設定
| 内容 | 値 |
| Listenするインタフェース | wan1 |
| Listenするポート | 44445 |
| アクセスを制限 | 任意のホストからアクセス許可 |
| トンネルモードクライアント設定 | 自動的にアドレス割り当て |
| 認証/ポータルマッピング | ユーザ/グループ:shin ポータル:TEST |
4.続いてポリシーを作成します。
「ポリシー&オブジェクト」>「IPv4ポリシー」>「新規作成」
| 内容 | 値 |
| 入力インターフェース | SSL-VPNトンネルインターフェース |
| 出力インターフェース | internal |
| 送信元 |
SSL-VPN_TUNNEL_ADDR1 |
| 宛先アドレス | PC |
| サービス | ALL |
| NAT | 無効 |
これで、Fortigate側の設定は以上です。
続いて、クライアント端末側の設定に行きます。
クライアント側手順
1.Fortigateへアクセスし、「ライセンス情報」>「FortiClient」>「Windows」をクリックします
2.「FortiClientInstaller-Windows.exe」がダウンロードされる
3.ダウンロードされたアプリケーションを実行し、インストールします
4.インストール完了後、「FortiClient」を実行
5.「リモートアクセス」を選択
6.以下の設定を入力し、保存を選択
| 内容 | 値 |
| VPN | SSL-VPN |
| リモートGW | グローバルIPアドレス or FQDN |
| ポート番号 | 44445 |
7.「ユーザ名」、「パスワード」を入力し、「接続」を選択
8.「はい」を選択
※今回の設定では、証明書を使用していないため、警告が発生します。
9.「VPN接続済み」が表示されていれば、無事接続されています
10.設定したIPアドレスが付与されているか「ipconfig」で確認します
ルートも併せて確認するため、「netstat -r」を実行
以上で、SSL-VPNの設定は終わりです。
意外と簡単に外部から接続することが出来ますね。
あとは、どこからでも接続できるため、個人ではいいかもしれませんが、企業などで使用する場合セキュリティをもっと強化するため、クライアント証明書を導入するなどして特定の端末からしかアクセスできないようにする必要がありますね。
個人で利用する場合でも、グローバルIPアドレスが動的だとIPアドレスが変わってしまうため、固定IPアドレスを契約するか、DDNSを利用する必要がありますね。
もし、外部ネットワークから内部ネットワークに接続したいよという方がおりましたら、メールでご連絡ください。
以下の参考書にも設定内容がありますので、気になる方はチェックしてみてください。(2020/3/27 追記)