iT邦幫忙

0

請問Fortinet設備如何讓SSL-VPN只走VPN網路?

大家好
最近有個網站後台需要讓USER登入修改資料
若USER在家作業的時候想要鎖定他的對外IP
但因為該網站是放在外部代管
所以沒辦法單純用SSL-VPN的方式去管控使用者登入

於是系統管理員想說能不能讓SSL-VPN都走VPN的網路連線
讓使用者拿到的對外IP也是公司IP
這樣就能達到鎖IP控管的方式

但我只會設定一般的SSL-VPN
不知道這部分該怎麼做
請大家提供方向與意見
謝謝

我這邊的設備是Fortinet 80C v5.0,build0292 (GA Patch 9)

看更多先前的討論...收起先前的討論...
runan5678 iT邦新手 3 級 ‧ 2017-05-10 15:52:00 檢舉
SSLVPN成功撥入後=公司內網,如果公司網路到代管伺服器原本即為VPN線路,應該沒有問題 ? 還是我誤會了什麼~?
喬可 iT邦新手 3 級 ‧ 2017-05-10 16:08:06 檢舉
(SSLVPN成功撥入後=公司內網) +1
hon2006 iT邦大師 1 級 ‧ 2017-05-11 08:27:32 檢舉
http://cookbook.fortinet.com/ssl-vpn-using-web-and-tunnel-mode-54/
謝謝大家的回覆
因為我們發現登入SSL-VPN之後
連到公司內網沒問題
但使用whatsmyip卻不是公司的外部IP
而可能是使用者自己家裡ADSL的IP
所以不知道這個問題該怎麼解
runan5678 iT邦新手 3 級 ‧ 2017-05-11 13:48:08 檢舉
SSLVPN設定應該有打開split tunnel(允許通道分割?)的設定,所以client連線Internet時並不會走公司內網而是自己家裡的ADSL,如果一定要使用IP的解法可參考http://www.askasu.idv.tw/index.php/2009/04/21/435/
SSL-VPN的分割隧道確實有啟用,但我剛剛關閉之後卻發現,SSL-VPN變得只能連內網不能連外網了,不知道這段該怎麼修改設定。
關閉分割隧道後再加一路規則讓SSL-VPN TO WAN即可,感謝大家

1 個回答

0
mytiny
iT邦大師 6 級 ‧ 2017-05-11 02:16:12
最佳解答

首先,版大OS的版本過舊,建議更新
目前OS5.0.x已經EoS

至於,"沒辦法單純用SSL-VPN的方式去管控使用者登入"
應該是不會吧,若非小弟理解錯誤,請放上架構圖
否則SSL-VPN本就可以管制使用者,否則誰還要用呢?
況且還可以加強與AD結合,或使用二階段動態密碼驗證
技術方法很多呢?建議詢問廠商細節

另外,"SSL-VPN都走VPN的網路連線"
並非SSLVPN登入就是內網,其實是另一網段
所以連通要靠ssl.root的政策設定
欲連VPN網段亦是如此
若不孰悉應請廠商提供技術支援

看更多先前的回應...收起先前的回應...

感謝回覆
該設備沒有簽維護所以無法更新OS.....

關於"沒辦法單純用SSL-VPN的方式去管控使用者登入"的意思是
該系統管理員想要用鎖定外部IP的方式去管控登入者

但是因為我們發現登入SSL-VPN之後
連到公司內網沒問題
但使用whatsmyip卻不是公司的外部IP
而可能是使用者自己家裡ADSL的IP
所以不知道這個問題該怎麼解

mytiny iT邦大師 6 級 ‧ 2017-05-11 10:27:54 檢舉

報告版大,只用IP作為管制登入者不是好辦法
因為IP實在太容易偽造了
還是建議您改採身分認證方式
以下是舊版SSL-VPN設定影片,希望有幫助
How to setup SSL VPN
以上方法若採用,就沒有內外部IP的問題

感謝您的回覆
我也覺得不是太好的方法
但系統管理者目前沒有更好的方案
所以我這邊要幫助他達成
我看看舊版的設定跟我現行的有何差異
謝謝

關閉分割隧道後再加一路規則讓SSL-VPN TO WAN即可,感謝

我要發表回答

立即登入回答