Sieci komputerowe, sieci bezprzewodowe, sprzęt do wideokonferencji - Network Expert

Remote access VPN (Tunnel based)

Wyobraźmy sobie sytuację, że siedziba firmy musi mieć zabezpieczone łącze z inną, odległą lokalizacją i obie lokalizacje mają połączenie internetowe. Przypuśćmy, że niektóre komputery potrzebują dostępu zdalnego do centrali, a więc transmisja danych musi być zaszyfrowana.

Do przesłania danych w postaci zaszyfrowanej służy implementacja tunelów logicznych – VPN, gdzie każdy ruch sieciowy będzie szyfrowany używając Site-to-Site VPN – IPSec.

Teraz wyobraźmy sobie sytuację, że użytkownik chce połączyć się z domu do centrali. Cały ten ruch sieciowy musi być zaszyfrowany.

Szyfrowanie połączeń między lokalizacjami

Korzystając z SSL-VPN w trybie web-based (trybu z ograniczoną możliwością), uzyskujemy dostęp do zasobów firmowych za pośrednictwem przeglądarki.

Inną opcją jest użycie oprogramowania działającego jako klient na urządzeniu użytkownika. Oprogramowanie takie sprawia, że komputer wydaje się być bezpośrednio podłączony do sieci firmowej. Do konfiguracji RA VPN z wykorzystaniem klienta może być używany mechanizm SSL albo IPSec.

[br]

Po podstawowej konfiguracji zapory sieciowej (interfejsy, trasa statyczna) trzeba jeszcze stworzyć grupę oraz dodać użytkowników do zdalnego dostępu.

Konfiguracja SSL na VPN - nowa grupa użytkowników

Konfiguracja SSL-VPN jest prosta. Najpierw wybieramy interfejs zewnętrzy, który będzie nasłuchiwał na zaznaczonym porcie, a następnie należy zainstalować certyfikat.

Wybór interfejsu zewnętrznego

W FortiGate istnieje możliwość włączania dodatkowych funkcji:

Dodatkowe funkcje dla SSL w VPN Fortigate

Domyślnie adresy podłączonych zdalnie użytkowników będą w zakresie 10.212.134.200 – 10.212.134.210, ale można je zmienić na własne.

Domyślnie adresy podłączonych zdalnie użytkowników

W tym polu dla każdego użytkownika albo dla wybranych grup można wybrać specjalny profil. Na przykład część z osób/grup może mieć tylko web-access a inna część – tunel-access albo full access.

Profil - ustawianie dostępu dla użytkowników lub grup
Dodawanie poziomu dostępu dla określonych użytkowników lub grup

Mamy możliwosć szybkiego pobrania klienta FortiClient

Możliwość pobierania klienta FortiClient

Utworzenie dostępu wymaga jeszcze stworzenia polityki w której znajduje się tunel SSL-VPN, sieć lokalna oraz grupa użytkowników, która może się łączyć z dowolnego miejsca i posiada dostęp do sieci lokalnej oraz do internetu.

Tworzenie polityki dla SSL VPN na Fortigate
Tworzenie polityki dla SSL VPN na Fortigate

W ustawieniach SSL-VPN-Portals znajduje się konfiguracja Split Tunneling – która odpowiada za to, że gdy użytkownik generuje ruch sieciowy do sieci lokalnej firmy – to ten ruch trafia do tunelu, a pozostały ruch będzie wysyłany bez przesłania do tunelu.

Ustawienia tunelowania ruchu w Fortigate

Dostępne są również dodatkowe funkcje:

Dodatkowe ustawienia tunelowania ruchu w Fortigate

Ogólnie Split tunneling kontroluje – który ruch przechodzi przez tunel VPN, a DNS Split tunneling kontroluje – które żądania DNS mogą również przechodzić przez tunel.

Okienko logowania FortiClient

Po zalogowaniu można uruchomić klient FortiClient albo pobrać oprogramowanie.

Po zalogowaniu w FortiClient
Po zalogowaniu można uruchomić klient FortiClient albo pobrać oprogramowanie.
2024-07-04T14:50:51+02:00
Przejdź do góry