Fortigate 60 SSL VPN(Forti OS 3.0)

Forti OS 3.00 버젼을 이제는 안쓸거라고 생각했다...
SSL VPN 설정작업이 필요하게 되었다. 옛날거라서 알고 있는 사람도 없다.
젠장...구글신에 도움을 받아 설정 했다

대상장비 : Fortigate 60 ( Forti OS 3.0 )

내용 : SSL VPN 설정 작업
참조URL : http://webcache.googleusercontent.com/search?q=cache:_2Rp4RtAzqIJ:dekiwiki.ties2.net/%40api/deki/files/153/%3DFortiGate_SSL_VPN_User_Guide_01-30007-0348-20080718.pdf+&cd=7&hl=ko&ct=clnk&gl=kr

1. SSL-VPN 사용 설정
"가상사설망 > SSL" 이동후 "SSL-VPN 사용" 채크 및 터널 IP 범위 설정


2. 사용자 생성
" 사용자 > 로컬  " 이동후 사용자 이름 및 암호 설정후 저장

3. 사용자 그룹 생성
"사용자 > 사용자 그룹 "  이동후 새로 생성

1) 이름 : 아무거나 해라
2) 타입 : SSL VPN
3) 사용가능자 : SSLVPN 사용할 멤버 추가 시켜준다
4) SSL-VPN 사용자 그룹 옵션 : SSL-VPN 터널 서비스 사용에 체크


3. 방화벽 정책 생성(1) - 인증통로 개방
실제정책이 아닌 인증만을 위한 통로 정책이다. 가령 Internal 구간 서버의 접속을 위한 정책이라고 가정하고 진행해보자
"방화벽 > 정책" 이동후 새로생성

1) 동작 : SSL-VPN
2) 허용 : 허용할 그룸을 넣어주면 됨.

4. 방화벽 정책 생성(2) - 패킷 정책 추가
"방화벽 > 정책 " 이동후 새로생성 "ssl.root -> internal" 방향의 정책을 세우면 된다. 이것이 SSL-VPN의 Inbound 정책이 되는것이다. 쉽게 애기해서 다음과 같다. wan1 -> ssl.root -> internal 의 인터페이스의 논리적 구조가 생성 된것 이다.
이 구조를 이해하면 정책 수립에 도움이 될것 이다.

1) 출발지인터페이스 : ssl.root
2) 목적지인터페이스 : internal

5. 정적라우팅 추가
"라우터 > 정적 > 정적라우트" 새로생성후 아래와 같이 SSL-VPN 대역의 트래픽 흐름을 제어하자

1) 수신IP/넷마스크 : SSL-VPN 터널IP 대역 추가
2) 디바이스 : ssl.root

이렇게 하면 설정이 마무리 된다. 외부에서 Forticlient 프로그램으로 접속시도해보자.
접근 포트는 "시스템 > 관리자 > 설정" 에 들어가면 로그인 포트가 정의 되어있당.

근데 SSL Client PC에서 인터넷이 안된다 ㅋㅋ
그것은 "ssl.root > wan1 " Outbound 정책을 만들어주면 된다. 단  SSL터널IP가 사설이기 때문에
반드시 "NAT" 를 체크해줘야지만 가능할거다. 인터페이스의 방향성에 대해서 이해만 되고 있다면
그리 어려운 문제는 아니다. 근데 난 반나절동안 이걸 해매고 있었다니 ㅋㅋ