請教 FortiGate 的 VPN 設定

Stranger2105
個人積分：105分
文章編號：82584160

105分

樓主

2021-07-31 22:44

現有環境以下簡稱主Site
之前就已經設定好相關設定，從外部任何地方透過 VPN 連線回主 Site 內部存取資源沒問題

但有一個新的需求
就是要讓另一個新的帳號簡稱 UserX 僅能透過指定的 IP VPN 連回來
也就是說原本的 UserA~UserW 可以從任何地方 VPN 回來
只有 UserX 這個帳號只能從指定的 IP VPN 回來
請問這有辦法做到嗎？

請有經驗的大大指引一下...謝謝

2021-07-31 22:44 發佈

文章關鍵字 Fortigate VPN 設定

M.M.SW

M.M.SW
個人積分：143分
文章編號：82592481

143分

2樓

2021-08-02 3:13

如果是從固定地方連回
會建議採用site to site VPN
就可以固定住來源的真實IP

但其實SSL VPN不需要固定來源的真實IP
因為驗證的方法很多，用Token就是一個辦法
至少可以發另一段 portal 以限定user X拿到另一段不同IP
或是購買付費版EMS，現在稱SASE
這樣可以做不少client的限制

Stranger2105

Stranger2105
個人積分：105分
文章編號：82593505

105分

樓主

2021-08-02 9:22

M.M.SW wrote:
如果是從固定地方連回(恕刪)

謝謝大大的意見
其實一開始的問題有刻意精簡一點
真正主要是因為 UserX 不是自己公司的人
但因為一些需求必須透過我們連到 SiteB

目前已經先限制 UserX 連進來時是分配到另一個獨立網段不與其他人共通，僅限借道到 SiteB
是想再多加限制 UserX 的來源必須要在他們公司 IP (SiteC) 裡面才可以

如果就既有的資源沒辦法的話..
就只能先這樣跟上面回報..看能不能接受了笑到噴淚

M.M.SW

M.M.SW
個人積分：143分
文章編號：82600104

143分

4樓

2021-08-02 21:21

FortiToken有兩個免費的
如果是支援廠商的話
問它們願不願意自己付費買一下

Stranger2105 樓主

我覺得非常困難..哈哈...[笑到噴淚]

2021-08-03 9:13

Stranger2105

Stranger2105
個人積分：105分
文章編號：82602638

105分

樓主

2021-08-03 9:12

後來自己再摸索測試了一陣子
我最後是透過 CLI 的方式去設定參數
因為在 Web 好像根本找不到這功能笑到噴淚

限制來源的機制也算是成功了

實測
UserA~UserW 無論在何處，透過 FortiClient 或 Web 都可以正常使用 VPN 連線
UserX 如果不是在指定的 IP ( ex. 61.186.23.99 ) 連 VPN ，連線會出現錯誤
UserX 如果在指定的 IP ( ex. 61.186.23.99 ) 連 VPN ，連線正常

M.M.SW

M.M.SW
個人積分：143分
文章編號：82608874

143分

6樓

2021-08-03 20:12

樓主果然厲害
用CLI就可以解決

Stranger2105

Stranger2105
個人積分：105分
文章編號：82612581

105分

樓主

2021-08-04 10:22

其實我也不知道這樣做是不是正確的
還是有更簡便的方法，是我想得太複雜也說不定
如果有更好的方法也請各位前輩指教～我也想多學一點

我的作法是
1. 把 UserX 的群組加入 SSL VPN 入口頁面 (Portals) 中的其中一項例如 tunnel-access
(原先不受管制的群組在 full-access)
2. SSL VPN 的設定 (Settings) 底下的認證/入口網頁對應 (Authentication/Portal Mapping) 將 UserX 的群組加上去並指定為 tunnel-access
3. 用 CLI 把對應參數加上
主要是增加
set source-interface "wan"
set source-address "UserX_ADDR"
這兩條

只要把 set source-address 改為 "all" 就可以讓 UserX 在任何地方連 VPN
改成 set source-address "UserX_ADDR" UserX 就只能從指定 IP 連 VPN