頁面目錄
前言:
Fortinet釋出新版FortiOS 7.6.3後完全取消所有FortiGate型號的SSL-VPN Tunnel Mode,保留原先的SSL-VPN Web Mode改為FortiGate Agentless VPN,但需注意以下型號的使用限制:FortiGate 40F/50G/60E/60F/80E/90E/90G自7.6版後完全取消SSL-VPN功能,建議這些型號更新到7.6版後改用IPsec VPN,詳細說明請見連結。
Client to Site IPsec VPN設定請見連結。
環境說明:
FortiOS版本:After 7.6.3(適用SSL-VPN Web Mode)
連線行為:Agentless VPN使用FortiGate做為Proxy連線到要存取的目的主機
FortiGate Agentless VPN設定:
啟用FortiGate Agentless VPN
from CLI:
config system global
set sslvpn-web-mode enable
end
config system settings
set gui-sslvpn enable
end
VPN Settings
Listen on Interface(s):設定VPN連線介面
Listen on Port:設定VPN 連線port
Server Certificate:設定VPN Portal憑證
Restrict Access:設定允許連線VPN的來源IP
Idle Logout:設定帳號閒置登出時間
Language:設定VPN Portal語言
Authentication/Portal Mapping:設定帳號/群組的VPN Portal對應
VPN Portal
Limit Users to One Agentless VPN Connection at a Time:限制帳號同一時間只能建立一個連線,建議開啟加強資安控管
Portal Message:設定VPN Portal頁面訊息
Theme:設定VPN Portal佈景主題
Default protocol:設定Bookmarks預設的連線協定
Show Session Information:是否顯示連線資訊
Show Connection Launcher:是否顯示Bookmarks連線工具
Show Login History:是否顯示帳號登入歷史記錄
User Bookmarks:是否允許帳號建立個人VPN Bookmarks
Display predefined bookmarks:是否顯示預先定義的VPN Bookmarks
RDP/VNC clipboard:是否啟用RDP/VNC的剪貼簿
使用者認證設定
Agentless VPN支援Radius、LDAP、SAML等多種使用者認證方式本文不在贅述詳細說明請見連結
Predefined Bookmarks
設定預先定義的Bookmarks,支援HTTP/HTTPS、FTP、SMB、SFTP、RDP、VNC、SSH、Telnet協定,以下呈現一些設Bookmarks定範例:
Personal Bookmarks
設定預先定義的使用者個人Bookmarks
config vpn ssl web user-bookmark
edit andy#
config bookmarks
edit “FG”
set description “FortiGate”
set url “https://172.16.4.254”
next
edit “SMB”
set apptype smb
set description “smb”
set folder “172.16.4.221/unicomp”
next
end
next
end
使用CLI設定Personal Bookmark
設定驗證:
除錯相關指令:
diagnose debug application sslvpn -1
diagnose debug enable
原廠參考文件:
請問91G 7.4.8版似乎沒看到Agentless這個功能喔!
FortiOS 7.4.8版是用SSL-VPN web mode
FortiOS 7.6.3後SSL-VPN web mode改名叫做Agentless VPN
另外注意一下FortiGate 91G升級的7.6.3後只能使用IPSec VPN作為外部使用者遠端存取內網的管道