SSL-VPN Fortigate リモートアクセス

リモートアクセスVPNテスト

シナリオ

想定：インターネットVPNを使用したリモートアクセスVPN

機器：Fortigate40C(ver 4.0 MR3 patch18) とiphone SE

目標1：LTE通信のiphone SEからFortigate40CまでをVPNでつなぎ、internal内のPCにリモートデスクトップで接続する

簡易ネットワーク

Fortigate SSL-VPN設定

ファイアウォールオブジェクト -> アドレス -> アドレス -> 新規作成

アドレス名：SSLVPN-Clients
タイプ：サブネット/IP範囲指定
サブネット/IP範囲指定：192.168.12.[2-9]
インタフェース：すべて

VPN -> SSL -> 設定

IPプール：SSLVPN-Clients
サーバ証明書：自己署名
クライアント証明書：なし
暗号鍵アルゴリズム：デフォルト
アイドルタイム：300秒
ログインポート：10443

VPN -> SSL -> ポータル -> 新規作成

名前：tunnel-access
ウィジェット：トンネルモード、Seesion Information
setting：デフォルトのまま

Fortigate SSL-VPNユーザー設定

ユーザー -> ローカル ->  新規作成

ユーザー名：userX
パスワード：XXXXXX

ユーザー -> ユーザーグループ -> ユーザーグループ -> 新規作成

名前：SSL-VPN
タイプ：ファイアウォール
SSL-VPNアクセスを許可：tunnel-access //tunnel-accessはポータル名
利用できるユーザー：userX

Fortigate 静的ルーティング

システム -> ネットワーク -> Routing -> 新規作成

宛先IP/ネットマスク：192.168.12.0/255.255.255.0
デバイス：ssl.root
ゲートウェイ：0.0.0.0
コメント：なし

Forigate ポリシー

ポリシー -> ポリシー -> 新規作成

送信元インタフェース/ゾーン：sslvpn トンネルインターフェース
送信元アドレス：SSLVPN-Clients
宛先インタフェース/ゾーン：internal
宛先アドレス：all
スケジュール：always
サービス：ANY
アクション：ACCEPT
NAT：有効(宛先インタフェースアドレスを使う)

送信元インタフェース/ゾーン：wan1
送信元アドレス：all
宛先インタフェース/ゾーン：internal
宛先アドレス：all
アクション：SSL-VPN
SSL-VPNユーザを設定
　ルールID:1
　ユーザグループ：SSL−VPN
　サービス：any
　スケジュール：always

iphone SSL-VPN設定準備

app storeからFortiClientをインストール

FortiClientの設定

Name：fortigate-ssl-vpn
Host：XXX.XXX.XXX.XXX　(wan1の固定IPアドレス)
Port：10443
User：userX
Password：XXXXXXXXXX

iphone PCへリモートデスクトップ

app storeからmicrosoft RD Clientをインストール

RD Clientの設定して接続

PC名：192.168.1.XXX (PCのIPアドレス)
ユーザーアカウント：<ユーザー名>
パスワード：<パスワード>