客户遇到ssl的连内网服务器问题,正好公司有一个小环境满足这个需求。主要是解析一下公司fortigate防火墙以及Cisco交换机的配置。
以上是公司拓扑图: centos服务器接在Cisco交换机上,假设网段是172.16.1.0, 服务器IP地址172.16.1.201. cisco连接centos得IP是172.16.1.1。在Cisco cisco接fortigate的IP是192.168.1.2。在Cisco fortigate接Cisco得IP是192.168.1.1。在fortigate 防火墙连internet,配置SSl ×××。用户拨号获得的IP地址是10.212.314.200.
顺序如下: routers------user-------user group-------portals----setting-----policy
第一步先配置Cisco交换机和fortigate防火墙得路由如图:
目标地址172.16.1.0,网关192.168.1.2,端口lan-Cisco。 然后路由确定ok后基本内部网络环境就ok了。上网策略看另外的文章吧。 接下来创建sslvpn。
第二部,注意先建立user,然后是user group如图:
第三步骤,建立portals。在×××里面一般是倒数第二个。有三个已经建立好的full模式和tunnel模式以及web模式,一般建议使用full。我比较习惯不开隧道分割。这个图主要是指出不开隧道分割的状态:
注意 Enable Split Tunneling 是黑色的。
第四步骤了,进行setting,也就是配置,比如端口443默认是https协议的端口。所以我就将它更改为11443.
然后IP地址可以自己更改,我这台设备默认是是个IP,其实可以更多,大概上百个同时在线,300,500的。可以自定义的,用户数参数主要看产品手册。
第五步,也就是最后一步,建立策略,来回的策略两个都要建立,建两个,我框上的最上面的第一个是lan-wan也就是上网策略。第二个是lan-ssl。第三个是ssl-lan。如果ssl要通过防火墙访问Internet,可以写一个ssl-wan的策略。注意lan-wan上网一定要开nat。但是如果是内网,并且环境不复杂的,也就是我现在实例的网络情况,可以不开nat的。
然后接下来是测试。
我切换了公司附近的免费的无线局域网。然后登陆sslvpn页面,ping服务器网址172.16.1.201,以及ssh访问皆成功如图:
