設計・設定する
Top / サポート情報 / マニュアル / クラウド型リモートVPNサービス / 設計・設定する / 3.SSL-VPNを設定する

3.SSL-VPNを設定する

ここでは、SSL-VPN機能の設定を行います。FortiGate VDOMのSSL-VPNは、全体で1つしかありません。

ポート番号や、SSL証明書、クライアントに配布するDNS、WINSの設定に加え、SSLポータルの設定で行ったポータル設定をグループ毎にマッピングする必要があります。

SSL証明書について

サンプル設定では、SSLのサーバサーバ証明書(Server Certificate)が、Factory Defaultになっています。

基本的には、「クラウド型リモートVPNサービス構築完了のお知らせ」にある、「UTM設定情報-ネットワーク情報-WAN側IPアドレス(B)」をご利用のDNSに好きな名前で登録し、サーバ証明書を取得し、FortiGate UTMにインストールしてご利用ください。インストールは「System-Certificates」から行います。くわしくはFortinet社のマニュアルを参照してください。

DNS/WINSの設定について

ご利用の環境で社内DNSやActive Directoryが使われている場合、VPN接続が行われても、DNSの接続がないと、社内で使われている名称でIPアドレスの解決ができません。

サンプル設定ではヒアリングシートに書かれたDNSのIPアドレスが登録されていますが、必要に応じて書き換えたり、WINSの設定を追加したりしてください。

認証/ポータルマッピング

SSLポータルの設定で行ったポータル設定をグループにマッピングします。

サンプルでは、全てのユーザをfull-tunnnelというポータルにマッピングしています。

サンプルで登録されているAdministratorsグループや、別途、一般ユーザグループを追加等した場合は、ここでマッピングする必要があります。

  • ユーザー/グループが使用するSSL-VPNポータルの設定を行います。
  • すべてのユーザーで同一SSL-VPNポータルを使用する場合は、デフォルトで設定されている「すべてのその他のユーザー/グループ」を編集します。
  • ユーザー/グループごとに異なるSSL-VPNポータルを使用する場合は、「新規作成」で「認証/ポータルマッピング」を追加します。

ただし、ユーザが複数のグループに所属しているときは、FortiGateの内部的優先順位で最初にマッチしたグループで判断されるため、意図しない動作をする事があります。

手順

1.SSL-VPN設定画面を開く

SSL-VPN設定
左メニューから「VPN」>「SSL-VPN Settings」を開くと、SSL-VPN設定画面が表示されます。
 

2.Connection Settingsを設定する

接続設定を行います。

Connection Settings
Listen on Interface(s)SSL-VPN接続元になるインターフェイスを選択します。
Listen on PortSSL-VPN接続を行う際のポート番号を指定します。
Redirect HTTP to SSL-VPNHTTPをSSL-VPNにリダイレクトする場合は、スイッチをON(右側) にします。Listen on Portで443を指定する場合、同一のポートのため競合するので注意が必要です。
Restrict Access  任意のホストからアクセス許可するか、特定ホストへアクセス制限するかを選択します。
Idle Logout  一定時間通信を行わなかった時に自動ログアウトの設定を行う場合、スイッチをON(右側) にします。「Inactive For」にログアウトするまでの非アクティブ時間を入力します。
Server Certificate  デフォルトのビルトイン証明書が使用されているため、SSL-VPN接続する際にユーザーに警告が表示されます。必要に応じてサーバー証明書を追加することが可能です。
Require Client Certificate  クライアント証明書を要求する場合は、スイッチをON(右側) にします。

3.Tunnel Mode Client Settingsを追加する

トンネルモードクライアント設定を行います。

Tunnel Mode Client Settings
Address Rangeアドレス範囲を自動的に割り当てるか、カスタムIPアドレス範囲を指定するかを選択します。
DNS ServerクライアントシステムのDNSと同じにするか、指定するかを選択します。「Specify」を選択し、DNSサーバーのIPアドレス範囲を指定します。
DNS Server #1「DNS Server」で「Specify」を選択した場合、DNSサーバーのIPアドレス範囲の始めを指定します。
DNS Server #2  「DNS Server」で「Specify」を選択した場合、DNSサーバーのIPアドレス範囲の終わりを指定します。
Specify WINS Servers  WINSサーバーを指定する場合、スイッチをON(右側) にします。
Allow Endpoint Registration  エンドポイント登録を許可する場合、スイッチをON(右側) にします。

4.認証/ポータルマッピングを設定する

新規認証ポータルマッピング作成

「Authentication/Portal Mapping」に作成したユーザー/グループを追加または編集します。ここでは、新しく認証/ポータルマッピングを作成します。

「Authentication/Portal Mapping」の「+ Create New」をクリックします。

 
新規認証ポータルマッピング作成
下記の項目を設定し、「OK」をクリックします。
 
Authentication/Portal Mapping
Users/GroupsSSL-VPNポータルと紐づけるユーザー/グループを選択します。
Realm「Default realm」を選択します。
Portal使用するSSL-VPNポータルを選択します。

5.SSL-VPN設定を完了する

SSL-VPN設定完了
上記の入力内容を確認し、「Apply」をクリックし設定の適用を行います。
 
警告
デフォルトのビルトイン証明書を使用しているため、設定の適用時に左の警告画面が表示されますが、「OK」をクリックします。
 
Private CloudPrivate Cloud
StorageStorage
NetworkNetwork