大家好
最近有個網站後台需要讓USER登入修改資料
若USER在家作業的時候想要鎖定他的對外IP
但因為該網站是放在外部代管
所以沒辦法單純用SSL-VPN的方式去管控使用者登入
於是系統管理員想說能不能讓SSL-VPN都走VPN的網路連線
讓使用者拿到的對外IP也是公司IP
這樣就能達到鎖IP控管的方式
但我只會設定一般的SSL-VPN
不知道這部分該怎麼做
請大家提供方向與意見
謝謝
我這邊的設備是Fortinet 80C v5.0,build0292 (GA Patch 9)
已邀請的邦友 {{ invite_list.length }}/5
首先,版大OS的版本過舊,建議更新
目前OS5.0.x已經EoS
至於,"沒辦法單純用SSL-VPN的方式去管控使用者登入"
應該是不會吧,若非小弟理解錯誤,請放上架構圖
否則SSL-VPN本就可以管制使用者,否則誰還要用呢?
況且還可以加強與AD結合,或使用二階段動態密碼驗證
技術方法很多呢?建議詢問廠商細節
另外,"SSL-VPN都走VPN的網路連線"
並非SSLVPN登入就是內網,其實是另一網段
所以連通要靠ssl.root的政策設定
欲連VPN網段亦是如此
若不孰悉應請廠商提供技術支援
感謝回覆
該設備沒有簽維護所以無法更新OS.....
關於"沒辦法單純用SSL-VPN的方式去管控使用者登入"的意思是
該系統管理員想要用鎖定外部IP的方式去管控登入者
但是因為我們發現登入SSL-VPN之後
連到公司內網沒問題
但使用whatsmyip卻不是公司的外部IP
而可能是使用者自己家裡ADSL的IP
所以不知道這個問題該怎麼解
報告版大,只用IP作為管制登入者不是好辦法
因為IP實在太容易偽造了
還是建議您改採身分認證方式
以下是舊版SSL-VPN設定影片,希望有幫助
How to setup SSL VPN
以上方法若採用,就沒有內外部IP的問題
感謝您的回覆
我也覺得不是太好的方法
但系統管理者目前沒有更好的方案
所以我這邊要幫助他達成
我看看舊版的設定跟我現行的有何差異
謝謝
關閉分割隧道後再加一路規則讓SSL-VPN TO WAN即可,感謝
iThome鐵人賽
看影片追技術