问小白 wenxiaobai
资讯
历史
科技
环境与自然
成长
游戏
财经
文学与艺术
美食
健康
家居
文化
情感
汽车
三农
军事
旅行
运动
教育
生活
星座命理

FortiOS SSL VPN 用户访问权限配置指南

创作时间:
作者:
@小白创作中心

FortiOS SSL VPN 用户访问权限配置指南

引用
CSDN
1.
https://blog.csdn.net/m0_37888039/article/details/142503802

本文介绍了FortiOS SSL VPN用户访问权限的配置方法,详细描述了如何为不同用户组分配不同的访问权限,包括用户及用户组配置、地址对象配置、SSL VPN配置和防火墙策略配置等步骤。

简介

使用不同用户组或用户登录SSL VPN隧道模式后,可配置不同的访问权限。本文介绍为不同用户组分配不同访问权限的配置方法。

相关组件

  • FortiGate:FortiOS v6.4.14 build2093 (GA)
  • 客户端:Windows11,安装FortiClient VPN 7.2.3.0929

用户及用户组配置

config user local
 edit "test1" //用于访问 Server1
     set type password
     set passwd-time 2014
     set passwd xx
 next
 edit "test2" //用于访问 Server2
    set type password
     set passwd-time 2014
     set passwd xx
 next
end
config user group
 edit "ssl1" //用于访问 Server1
 set member "test1"
 next
 edit "ssl2" //用于访问 Server2
 set member "test2"
 next
end

地址对象配置

config firewall address 
 edit "server1" //定义 Server1 IP 地址
 set subnet 192.168.1.99 255.255.255.255
 next
 edit "server2" //定义 Server2 IP 地址
 set subnet 192.168.1.100 255.255.255.255
 next
 edit "ssl1addr" //ssl1 用户组内用户 ssl 隧道模式分配的 IP 地址范围
 set type iprange
 set start-ip 192.168.1.1
 set end-ip 192.168.1.100
 next
 edit "ssl2addr" //ssl2 用户组内用户 ssl 隧道模式分配的 IP 地址范围
 set type iprange
 set start-ip 192.168.100.101
 set end-ip 192.168.100.200
 next
edit "local" //用于配置隧道分割时,可访问内网网段(非必须,也
可以直接使用 ssl1addr 和 ssl2addr)
 set subnet 192.168.1.0 255.255.255.0
 next
end

SSL VPN 配置

  • 新建 Portal
    新建两个 Portal,在配置防火墙策略时,分别应用于ssl1和ssl2用户组。如果启用隧道分割,需要选择routing address,即SSL VPN用户需要访问的内网网段IP。配置source IP pools,在关联用户组后,不同的用户组拨入SSL VPN后,会分配不同的source IP pools里的IP地址。

  • SSL VPN setting
    在setting页面中,除了要配置SSL VPN登录的端口号等信息外,还可配置允许连接SSL VPN的主机IP、登录用户超时时间、用户组与Portal关联等信息,如下图所示:

介绍如下:

  • Listen on Interface:在哪个接口上开启SSL VPN,一般为外部公网接口。
  • Listen on Port:登录SSL VPN使用的端口号。默认为443,会有警告与HTTPS管理登录端口冲突。
  • Restrict Access:可登录SSL VPN的源IP。通常选择为Allow access from any host。
  • Tunnel Mode Client Settings——Address Range:如果选择Automatically assign addresses,会有提示为“隧道用户将得到10.212.134.200 - 10.212.134.210范围内的IP”,但实测证明,即使选择这项,隧道用户得到的IP仍是在Portal里配置的Source IP Pools内的IP。
  • Authentication/Portal Mapping:此处配置用户组与Portal的对应关系。

防火墙策略配置

config firewall policy
 edit 2
 set srcintf "ssl.root"
 set dstintf "switch"
 set srcaddr "ssl1addr"
 set dstaddr "server1"
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic disable
 set groups "ssl1"
 next
 edit 3
 set srcintf "ssl.root"
 set dstintf "switch"
 set srcaddr "ssl2addr"
 set dstaddr "server2"
 set action accept
 set schedule "always"
 set service "ALL"
 set groups "ssl2"
 next
end

结果验证

热门推荐
© 2023 北京元石科技有限公司 ◎ 京公网安备 11010802042949号