Инструкция нашего времени: как настроить удаленный доступ через IPsec VPN

Приветствуем вас, друзья!

Рассмотрим стандартный процесс создания VPN туннеля для подключения удаленных пользователей к локальной сети организации с решениями Fortinet.

С нами вы сможете получить лицензию FG-VM на 60 дней бесплатно, но об этом в конце статьи. А сейчас, начнем.

Сначала необходимо создать пользователей, которые будут подключаться через туннель. Если планируется использование удаленных пользователей (LDAP, RADIUS) - этот пункт можно пропустить. Создание пользователей происходит из меню User & Devices -> User Definition -> Create New.

Рисунок 1. Создание пользователей

Далее, созданных пользователей необходимо объединить в группу. Для этого нужно создать новую группу в меню User & Devices -> User Group -> Create New. В этом меню, в поле Members необходимо добавить созданных пользователей.

Рисунок 2. Объединение в группу

Если планируется использование удаленных пользователей, в поле Remote Groups необходимо выбрать удаленный сервер (он должен быть привязан к FortiGate), и в появившемся списке выбрать необходимую группу (или группы), щелкнуть по ней правой кнопкой мыши и нажать на появившееся окно “Add Selected”.

Рисунок 3. Использование удаленных пользователей

Создание VPN туннеля

Дальше можно приступить к созданию самого VPN туннеля. Для этого воспользуемся IPsec Wizard’ом. Перейдем в меню VPN -> IPsec Wizard. Первым шагом нам необходимо ввести название туннеля, выбрать его тип (в нашем случае - Remote Access) и выбрать тип удаленных устройств. В этом примере для подключения мы будем использовать ПО FortiClient, поэтому выбираем тип Client Based и FortiClient.

Рисунок 4. Создание VPN туннеля. Шаг 1

Вторым шагом нам нужно выбрать интерфейс, на который будут приходить удаленные подключения. В нашем случае это port3. Дальше необходимо выбрать тип аутентификации - секретный ключ или сертификат. Мы выбираем секретный ключ. Дальше вводим значение секретного ключа в поле Pre-shared key. И в поле User Group выбираем группу, созданную ранее.

Рисунок 5. Создание VPN туннеля. Шаг 2

Третий шаг заключается в конфигурации Policy & Routing. Нам необходимо указать локальный интерфейс, к которому будут подключаться удаленные пользователи. В поле Local Address необходимо выбрать подсети, к которым будут иметь доступ удаленные пользователи (их нужно предварительно настроить в меню Policy & Objects -> Addresses). Далее, нужно выбрать диапазон IP адресов, которые будут присваиваться удаленным пользователям при подключении. Важно проследить, чтобы эти адреса не пересекались с вашей внутренней адресацией.

Поле DNS Server позволяет выбрать DNS сервер, которым будут пользоваться удаленные пользователи при подключению к туннелю.

Опция Enable Split Tunnel позволяет давать доступ пользователям только к определенным подсетям, а не пускать весь их трафик через FortiGate.

Опция Allow Endpoint Registration позволяет получать различную информацию об удаленных точках, и на основании этой информации принимать решения (например разрешать подключаться удаленной точке или нет).

Рисунок 6. Создание VPN туннеля. Шаг 3

Последний шаг - настройка клиентских опций. Можно активировать следующие опции: сохранения пароля, авто подключение и непрерывное подключение.

Рисунок 7. Создание VPN туннеля. Шаг 4

После данного шага создается туннель, а мы видим следующее “саммари”:

Рисунок 8. Итог

Здесь перечислены все объекты, которые были созданы в процессе работы Wizard’а. Посмотрим, например, на созданную политику Remote to Local:

Рисунок 9. Созданная политика Remote to local

Настройка VPN подключения с клиентской стороны

Теперь рассмотрим настройки с клиентской стороны. Для этого необходимо открыть FortiClient, перейти во вкладку Remote Access и создать новое подключение. В поле VPN необходимо выбрать тип подключения, в нашем случае IPsec VPN. В поле “Имя соединения” необходимо ввести понятное название туннеля.

В поле “Удаленный шлюз” необходимо ввести IP адрес внешнего интерфейса FortiGate, к которому мы будем подключаться. Если посмотреть выше, в нашем случае этот интерфейс - port3. Его IP адрес - 10.10.30.210. Метод аутентификации и сам ключ должны совпадать с тем, что мы настроили на FortiGate. Напоминаю - в качестве метода мы выбрали секретный ключ, а в качестве значения ключа - слово fortinet.

В поле “Аутентификация” нужно выбрать либо опцию “Запрашивать”, чтобы при каждом подключении FortiClient запрашивал имя пользователя и пароль, либо опцию “Сохранить логин”, чтобы при каждом подключении запрашивался только пароль. Соответственно, во втором случае в поле “Имя пользователя” необходимо ввести логин.

Рисунок 10. Настройки с клиентской стороны

Больше ничего настраивать не нужно. Нажимаем сохранить. Теперь у нас есть доступное подключение. Вводим пароль и пробуем подключиться. Видим следующее окно:

Рисунок 11. Успешное подключение

Оно говорит о том, что мы успешно подключились к сети нашего предприятия и теперь имеем защищенный доступ к его внутренним ресурсам.

Друзья, благодарим за прочтение статьи!

Помимо полезных статей Fortiservice спешит порадовать вас еще более полезным предложением для безопасной удаленной работы с достаточными мощностями - ЛИЦЕНЗИЕЙ FORTIGATE-VM НА 60 ДНЕЙ БЕСПЛАТНО.

Скорее переходите по ссылке и оставляйте заявку. При возникновении каких-либо вопросов вы можете обратиться к нашим специалистам, которые помогут во всем разобраться.

#удаленная работа #информационная безопасность #vpn #системное администрирование #технологии