VPN (Virtual Private Network)는 "가상 사설 네트워크"라고도 하는데, 기밀/보안과 관련있고 요즘은 개인들도 외부에서 홈네트워크에 접속할 때 vpn을 쓰기고 한다. 보통은 기업내 네트워크로 안전하게 접속하기 위한 방법으로 쓴다고 보면 된다. VPN은 종류도 많은데 SSL VPN (Secure Sockets Layer VPN) 설정방법을 기록한다.
사용자 및 그룹 추가
- 개별 유저 생성해도 되지만,, 이미 사용하는 AD서버가 있기 때문에 연동한다.
- 유저 나 그룹 추가
SSL VPN 연결시 사용될 가상 주소 설정
가상 IP로 사용되기 때문에 기업이나 가정의 Network ID와 일치시키지 않아도 된다.
임의로 IP 생성 : 100.2.7.240~100.2.7.250)
이름 : SSLVPN_TUNNEL_ADDR1
SSL-VPN Portals 설정
새로 만들어도 되는데, 기존의 full-access를 수정했고, 설정 아래에 FortiClient 프로그램 다운받을 경로를 지정했다.
작업당시 "Customize Download location"을 사용하지 않으면, 공식 홈페이지에서 FortiClient를 다운받게 되는데 프로그램이 이상하여 sslvpn 접속되지 않았다. 그래서 내 FortiGate 100E 장비와 펌웨어를 확인하여 호환되는 FortiClient를 찾아 다운받은 후 웹서버에 올려두고, 이 링크를 추가했다.
SSL VPN Setting
외부에서 접속할 Port를 지정하고 앞서 생성한 그룹이나 유저를 선택 및 권한을 지정한다.
앗,, 이미지가 사라졌다.
여기까지 잘 따라왔다면 SSL-VPN Setting 항목으로 이동해서, 접속할 Port를 지정하고 유저별 권한을 선택하면 된다.
방화벽 정책
마지막으로 SSL interface에서 기업내로 들어오는 정책을 생성한다.
유저가 외부에서 FortiClient 를 통해서 성공적으로 로그인 했을 때 접속 허용할 네트워크와 장비, Service 등에 대한 Rules을 생성하는 것이다.
SSL-VPN을 활성화 하면 SSL관련 interface가 활성화 되어 있다.
필자의 경우 VPN으로 접속시 경영지원 네트워크에 있는 1.1.1.1 서버의 원격서비스 (3389)만 허용하는 rule을 만들어 보는 예시이다. 설명과 이미지가 다른점 양해 바람.
- incomming interface : 자동 생성된 interface 선택 (SSL-VPN tunnel interface)
- Outgoing interface : 경영지원
- Source : 위에서 생성한 SSLVPN_TUNNEL_ADDR1
- Destination : 1.1.1.1
- Service : RDP
뭐 그렇습니다.
'Network > FortiGate' 카테고리의 다른 글
| FortiGate 100F SSL 적용 (0) | 2024.04.30 |
|---|