Remote access VPN (Tunnel based)
Wyobraźmy sobie sytuację, że siedziba firmy musi mieć zabezpieczone łącze z inną, odległą lokalizacją i obie lokalizacje mają połączenie internetowe. Przypuśćmy, że niektóre komputery potrzebują dostępu zdalnego do centrali, a więc transmisja danych musi być zaszyfrowana.
Do przesłania danych w postaci zaszyfrowanej służy implementacja tunelów logicznych – VPN, gdzie każdy ruch sieciowy będzie szyfrowany używając Site-to-Site VPN – IPSec.
Teraz wyobraźmy sobie sytuację, że użytkownik chce połączyć się z domu do centrali. Cały ten ruch sieciowy musi być zaszyfrowany.
Korzystając z SSL-VPN w trybie web-based (trybu z ograniczoną możliwością), uzyskujemy dostęp do zasobów firmowych za pośrednictwem przeglądarki.
Inną opcją jest użycie oprogramowania działającego jako klient na urządzeniu użytkownika. Oprogramowanie takie sprawia, że komputer wydaje się być bezpośrednio podłączony do sieci firmowej. Do konfiguracji RA VPN z wykorzystaniem klienta może być używany mechanizm SSL albo IPSec.
[br]
Po podstawowej konfiguracji zapory sieciowej (interfejsy, trasa statyczna) trzeba jeszcze stworzyć grupę oraz dodać użytkowników do zdalnego dostępu.
Konfiguracja SSL-VPN jest prosta. Najpierw wybieramy interfejs zewnętrzy, który będzie nasłuchiwał na zaznaczonym porcie, a następnie należy zainstalować certyfikat.
W FortiGate istnieje możliwość włączania dodatkowych funkcji:
Domyślnie adresy podłączonych zdalnie użytkowników będą w zakresie 10.212.134.200 – 10.212.134.210, ale można je zmienić na własne.
W tym polu dla każdego użytkownika albo dla wybranych grup można wybrać specjalny profil. Na przykład część z osób/grup może mieć tylko web-access a inna część – tunel-access albo full access.
Mamy możliwosć szybkiego pobrania klienta FortiClient
Utworzenie dostępu wymaga jeszcze stworzenia polityki w której znajduje się tunel SSL-VPN, sieć lokalna oraz grupa użytkowników, która może się łączyć z dowolnego miejsca i posiada dostęp do sieci lokalnej oraz do internetu.
W ustawieniach SSL-VPN-Portals znajduje się konfiguracja Split Tunneling – która odpowiada za to, że gdy użytkownik generuje ruch sieciowy do sieci lokalnej firmy – to ten ruch trafia do tunelu, a pozostały ruch będzie wysyłany bez przesłania do tunelu.
Dostępne są również dodatkowe funkcje:
Ogólnie Split tunneling kontroluje – który ruch przechodzi przez tunel VPN, a DNS Split tunneling kontroluje – które żądania DNS mogą również przechodzić przez tunel.
Po zalogowaniu można uruchomić klient FortiClient albo pobrać oprogramowanie.