实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

这篇具有很好参考价值的文章主要介绍了实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

  【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?


  实验要求与环境

  OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上网,另一条MPLS专线用来访问指定网站。并且网站绑定了专线IP,只有这个IP才能访问。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  新冠疫情前,大家在公司办公,可以很方便的访问指定网站。新冠疫情后,全员居家办公,要求除了能安全的远程访问公司内部服务器外,也要能通过公司MPLS专线,访问指定网站。

  配置前的准备

  由于当前我们的实验环境是没有互联网的,为了模拟MPLS专线,我们需要给FortiWiFi 60E深圳总部防火墙,接入一条真实的宽带。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ① 笔记本无线连接OldMei-深圳SSID。然后通过https://192.168.10.1登录深圳总部防火墙。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ② 深圳总部防火墙已经有一条宽带,配置在wan1接口,我们需要把新加的MPLS专线配置在wan2口中。选择菜单【网络】-【接口】,选择wan2口,点击【编辑】,然后输入专线IP。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ③ 专线IP配置好后,我们还要配置默认网关。选择菜单【网络】-【静态路由】,点击【新建】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ④ 选择接口【wan2】,输入网关地址。这里要多做一步,就是修改优先级。点击【高级选项】,优先级默认为1,修改为大于1的数字即可,这里改为5。为什么要改优先级?优先级起什么作用?往下看。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑤ 选择菜单【仪表板】-【网络】,点击【路由】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑥ 可以看到路由表内容,但是栏目里并没有看到优先级,鼠标右击栏目,弹出菜单里选择【优先级】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑦ 现在我们可以看到,路由表中显示有两默默认路由,分别是wan1和wan2两个接口,它们的管理距离都是10,这是新建静态路由时的默认设置,只有管理距离数值最小的,才会显示在路由表中,这里两个管理距离都是10,所以都显示在路由表中,也就表示两条宽带可以同时使用。

  新建静态路由时,默认优先级是1,数字越小越优先。如果两个默认路由优先级都是1,就会产生冲突,访问的数据不知道该走哪个网关。由于MPLS专线不是经常用于上网,因此将专线的优先级设置大于1。那么这种情况下,数据走wan1网关。

  那要走wan2怎么办,使用策略路由,因为策略路由优先于静态路由。这个我们在后面的配置中会用到。

   配置SSL VPN

  在我们的实验环境增加了一条模拟MPLS专线的宽带后,我们可以配置SSL VPN了,这里我们只在上一次实验的配置中进行修改,不再重复讲解配置过程了,不清楚的可以先看上一篇文章。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ① 选择菜单【VPN】-【SSL-VPN门户】,选择full-acces,点击【编辑】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ② 隧道分割选择【禁用】,提示说所有客户端流量都会流向SSL-VPN隧道。也包括上网流量。点击【确认】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ③ 修改完SSL-VPN门户,选择菜单【SSL-VPN设置】,这里不用做大的改动,都是以前的配置。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ④ 由于要走专线上网,建议将DNS服务器改为专线DNS。点击【应用】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑤ SSL-VPN门户和SSL-VPN设置都修改完成,一下步就是要创建一条允许SSL VPN虚拟接口走Wan2上网的策略了。选择菜单【策略&对象】-【防火墙策略】,点击【新建】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑥ 输入策略名称,流入接口选择SSL VPN虚拟接口ssl.root。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑦ 流出接口选择wan2,表示SSL VPN要走wan2上网。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑧ 源地址选择防火墙的默认地址对象SSLVPN_TUNNEL_ADDR1,和SSL-VPN门户里选项对应。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑨ SSL VPN策略的源地址比较特殊,除了要有地址对象外,还要有用户,选择SSL-VPN设置里对应选项的地址组。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑨ 由于不确定要访问哪些IP,目标地址选择all。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑩ 同样不确定要访问的类型,服务也是选择ALL。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑪ 由于这是一条上网策略,默认启用NAT。NAT的作用,就是将内网IP变成公网IP,对方看到的只是公网IP。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑫ 点击【确认】,本以为会保存策略,但是没有想到会弹出一个红色报警提示。查看提示内容,说tunnel-acces启用了隧道分割,所以目标地址不能是all。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑬ 回到SSL-VPN门户,编辑tunnel-access,我就纳闷了,都没用到这个门户呀。 

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑭ 还是老老实实禁用隧道分割。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑮ 再次创建SSL VPN到Wan2口的策略,点击【确认】。 

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑯ 这次策略创建成功,因此我们有了两条策略,一条是以前创建的SSL VPN访问服务器的策略,另一条就是刚刚建立的SSL VPN走Wan2上网的策略。

  检验效果

  所有配置都完成了,笔记本电脑关掉所有无线,有线连接模拟互联网的FortiWiFi 60D。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ① 管理员在家中上网,打开FortiClient VPN,输入用户名和密码,点击【连接】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ② 拨号连接成功。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ③ 用ipconfig/all命令查看,可以看到有生成SSL VPN虚拟网卡,获取的IP地址是防火墙地址对象SSLVPN_TUNNEL_ADDR1分配的,也得到了我们在SSL-VPN设置中修改的网关。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ③ 用route print查看路由表,可以看到所有流量都会走SSL VPN隧道出去。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ④ 从笔记本电脑Ping远端防火墙Wan2接口,以及Wan2接口的下一路,都可以通,但是Ping公网IP却不通,有人知道这是为什么吗?

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑤ 复习一下我们前面学习的内容,两条宽带的默认路由,Wan1的优先级是1,Wan2的优先级是5,所以所有的访问会走Wan1的网关。那有人要问了,为什么ping 172.16.188.188和172.16.188.1又能通?这是因为路由表里,有这个地址段的直连路由。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑥ 由于我们拨号后已经能访问防火墙的DMZ和wan2接口了,所以可以用Wan2接口IP远程登录防火墙。在菜单里,只看到静态路由,没有看到策略路由。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑦ 选择菜单【系统管理】-【可见功能】,启用【高级路由】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑧ 选择菜单【网络】-【策略路由】,点击【新建】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑨ 流入接口,选择SSL VPN虚拟接口。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑩ 地址选择SSL VPN默认配置的SSLVPN_TUNNEL_ADDR1地址对象,这里不用象策略一样再加用户了。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑪ 我们要建两条策略路由,一条是到服务器的,一条是到Wan2的,由于到服务器的目标明确,所以先建,选择服务器地址组。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑫ 流出接口选择DMZ口,由于没有下一跳,网关地址保持为默认的0.0.0.0,点击【确认】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑬ SSL VPN到服务器的策略路由创建好,再创建一条SSL VPN到Wan2的策略路由。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑭ 内容基本相同,不同的是目标地址为ALL,流出接口为Wan2,网关地址为Wan2的下一跳。点击【确认】。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑮ 策略路由执行的顺序是从上往下匹配,匹配到了就不向往下走。所以我们需要将目标明确的策略路由放上面,可以鼠标按住最左边的序号,然后拖动进行排序。

  考一考大家,如果目标为ALL的策略,放在第一排,访问服务器的时候会出现什么情况?同样会走Wan2口出去,而不会走DMZ口。所以永远Ping不通服务器。这就是策略路由顺序的重要性了。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑯ FortiClient VPN客户端还是连接状态,再Ping服务器IP,可以Ping通,Ping公网IP,也可以ping通。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑰ tracert查看路由,可以看到是通过SSL VPN隧道,到达远端防火墙Wan2的专线出去的。

如何设定远程访问固定网址,# 远程访问实验,FortiOS 7.2,实验,远程访问,SSL,宽带

  ⑱ 笔记本电脑可以上网,走的是远程防火墙Wan2接口的专线,而不是本地宽带。文章来源地址https://www.toymoban.com/news/detail-767662.html


到了这里,关于实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 实验篇(7.2) 18. 星型安全隧道 - 分支互访(IPsec) ❀ 远程访问

    【简介】Hub-and-Spoke:各分支机构利用VPN设备与总部VPN设备建立VPN通道后,除了可以和总部进行通讯,还可以利用总部VPN设备互相进行数据交换,而各VPN分支机构不需要进行VPN的隧道连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行

    2024年02月12日
    浏览(38)
  • 实验篇(7.2) 14. 站对站安全隧道 - 多条隧道冗余(FortiGate-IPsec) ❀ 远程访问

    【简介】IPsec VPN虽然价廉物美,但是由运营商原因,偶尔出现不稳定情况,例如访问慢甚至断开等,好在现在大多数企业都有二条甚至更多条宽带,我们可以创建多条IPsec VPN,来保证不间断访问。   实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽带用来上

    2024年02月09日
    浏览(36)
  • 实验篇(7.2) 15. 站对站安全隧道 - 多条隧道聚合(FortiGate-IPsec) ❀ 远程访问

    【简介】虽然隧道冗余可以解决连接问题,但是当大量数据访问或要求访问不能中断时,隧道冗余就力不从心了。这种情况就要用到隧道聚合。但是对宽带的要求也高了,双端都至少需要二条宽带。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集

    2024年02月10日
    浏览(37)
  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(57)
  • 实验篇(7.2) 11. 站对站安全隧道 - 双方互相发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】前面我们实验的是FortiClient客户端与防火墙进行VPN连接,现在我们要做的实验是防火墙与防火墙之间进行VPN连接。现在我们来看看两台防火墙之间要怎样创建VPN连接。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月03日
    浏览(47)
  • 实验篇(7.2) 12. 站对站安全隧道 - 仅一方发起连接(FortiGate-IPsec) ❀ 远程访问

    【简介】上一篇实验发现,两端都是可以远程的公网IP的话,两端防火墙都可以发出连接请求,并且都能够连通。这样的好处是安全隧道不用随时在线,只在有需求时才由发起方进行连接。但是现实中很多情况下只有一端公网IP可以远程,那么还能用IPsec安全隧道吗?   实验要

    2024年02月09日
    浏览(33)
  • 实验篇(7.2) 13. 站对站安全隧道 - 走对方宽带上网(FortiGate-IPsec) ❀ 远程访问

    【简介】前面实验已经知道,FortiClient客户端拨号到远端防火墙,包括上网流量等所有流量都可以通过隧道到达远端防火墙,并从对方宽带上网。那么两台防火墙之间连接的安全隧道,可以实现这个功能吗?   实验要求与环境 OldMei集团深圳总部防火墙有两条宽带,一条普通宽

    2024年02月09日
    浏览(33)
  • 实验篇(7.2) 05. 通过浏览器访问远端内网服务器 (SSL) ❀ 远程访问

    【简介】直接将内网服务器映射成公网IP,可以方便的从任何地方访问服务器的指定端口,但是这种方式下,服务器是公开且暴露的。那有没有即方便、又比较安全的远程访问服务器的方法呢?我们来看看SSL VPN的Web模式。    SSL VPN介绍 从概念角度来说,SSL VPN即指采用SSL (

    2024年02月15日
    浏览(54)
  • 实验篇(7.2) 04. 映射内网服务器到公网IP ❀ 远程访问

    【简介】由于服务器的IP是内网地址,所以无法从公网直接访问服务器。要想远程访问服务器,最简单的办法就是将服务器映射到公网IP,然后通过公网IP加端口号的方式进行访问。    实验要求与环境 OldMei集团深圳总部部署了一台服务器,用来对所有内网的设备进行管理。为

    2024年02月12日
    浏览(38)
  • 利用HTTP隧道在Linux系统上实现安全远程访问

    在一个阳光明媚的下午,Linux小侠坐在电脑前,捋了捋他那一头乌黑亮丽的代码发,开始琢磨如何通过HTTP隧道实现安全远程访问。毕竟,在这个信息爆炸的时代,远程访问的安全性可是每个技术宅都绕不开的话题。 Linux小侠知道,HTTP隧道就像是网络世界中的一条秘密通道,能

    2024年02月19日
    浏览(41)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包