【隧道篇 / IPsec】(7.6) ❀ 03. FortiClient客户端远程访问（SSL） ❀ FortiGate 防火墙

　　【简介】相信很多人最近升级固件到 FortiOS 7.4 和 7.6，发现SSL安全隧道在菜单上不见了，无法使用，那有没有办法能继续使用呢？

  SSL VPN使用条件

　　要想在 FortiOS 7.4 和 7.6 中使用SSL安全隧道，是有一定条件限制的。

　　① 官网用户手册说明，只有内存超过2GB的防火墙才支持SSL VPN。

　　② 可以通过在防火墙执行命令 get hardware status 查看到内存大小，象FortiGate 601E，内存16GB，满足在FortiOS 7.4和7.6运行SSL VPN的条件。

　　③ 目前在售的部分桌面式防火墙，大部分不支持SSL VPN，当然，前提是使用固件FortiOS 7.4及以上版本，7.2及以下版本没有限制。

   启用SSL VPN

　　老梅子集团深圳研发总部防火墙为FortiGate 7.6.2，中山工厂分部工程师需要经常在不同的地方访问总部服务器。

　　① 登录深圳研发总部防火墙，在VPN菜单中并没有看到关于SSL VPN的内容。 

　　② 选择菜单【系统管理】-【可以功能】，可以在核心功能区域启用【SSL-VPN】。

　　③ 如果在可见功能没有看到【SSL-VPN】选项，也可以在命令窗口执行命令 config system settings、set gui-sslvpn enable、end，这样再次打开可见功能，就能看到【SSL-VPN】选项了。

　　④ 再次选择VPN菜单，就可以看到出现我们熟悉的SSL VPN菜单了。

   准备工作

　　在配置SSL VPN前，我们需要先做一些准备工作，例如创建身份验证的用户组和用户、创建访问目标地址对象、以及确认拨号后生成的IP地址等等。

　　① 选择菜单【用户与认证】-【用户组】，点击【新建】。

　　② 输入自定义的名称，点击【确认】，用户组就创建好了。

　　③ 下一步是创建用户，选择菜单【用户与认证】-【设置用户】，点击【新建】。

　　④ 默认是创建本地用户，点击【下一步】。

　　⑤ 输入自定义的用户名和密码，这个以后会在SSL VPN登录时用到，点击【下一步】。 

　　⑥ 双因子认证默认不启用，点击【下一步】。

　　⑦ 启用用户组，选择刚刚创建的用户组，点击【提交】，这样用户就创建好了，并加入了新建的用户组中。 

　　⑧ 下一步是创建要访问的服务器的地址对象，这样以后服务器的IP地址变更了，只要修改地址对象就可以了。选择菜单【策略&对象】-【地址】，点击【新建】。

　　⑨ 输入地址对象名称，以及IP/掩码，点击【确认】，服务器的地址对象就创建好了。如果需要访问多个网段，可以创建多个地址对象，并放入到一个地址组中，在策略里引用地址组就可以了。

　　⑩ 防火墙默认生成一个SSL VPN的地址对象，用来给拨号后的设备分配IP地址，由于拨号产生的IP地址不能和内网地址相同，因此这里用了一个不常用地IP地址段，并只有11个IP地址，可以针对实际情况修改IP地址网段。

   SSL VPN门户

　　在所有准备工作都完成后，可以配置SSL 门户了。

　　① 选择菜单【VPN】-【SSL-VPN门户】，SSL VPN用两种模式：隧道和Web，使用最多的是隧道模式，这里选择【tunnel-access】，点击【编辑】。 

　　② 隧道模式默认启用隧道分割，启用了隧道分割，只有指定的IP访问会走隧道。如果没有启用隧道分割，那么所有流量都会走隧道，包装上网流量。这里我们在隧道分离地址加上我们创建的服务器的地址对象。也就是说，当访问172.16.2.0/24网段时，流量才会走隧道。源IP地址是防火墙的默认地址对象，也就是拨号后自动生成的IP网段。点击【确认】，门户设置完成。

   SSL VPN设置

　　配置完门户，就可以开始SSL VPN设置了。

　　① 选择菜单【VPN】-【SSL-VPN设置】。

　　② 接口选择拨入的宽带接口，监听端口默认为443，但是很多宽带443端口被禁用，因此建议修改端口号，这里改为10443，服务器证书选择【Fortinet_Factory】，记得服务器证书一定要选择，不然会报错无法拨号成功。

　　③ 其它设置保持默认，在认证/门户映射区域，点击【新建】。

　　④ 用户/组选择创建的【SSL_VPN_Users】用户组，门户选择修改的过【tunnel-access】，表示只有这个用户组可以访问服务器IP地址。

　　⑤ 那是不是这样就完了呢。并不是，看见那个全部其它用户/组了没？点击【尚未设置】。

　　⑥ 选择一个没有配置过的门户就可以了。

　　⑦ 点击【应用】，SSL VPN设置配置完成。

   SSL VPN策略

　　早期固件版本配置完SSL VPN设置后会提示创建SSL VPN访问策略，FortiOS 7.6.2没有这个提示了，所以要记得创建SSL VPN策略。

　　① 选择菜单【策略&对象】-【防火墙策略】，点击【新建】。

　　② 输入自定义的策略名称，流入接口比较特殊，是防火墙自动生成的SSL-VPN虚拟接口，这里不要选择错了。因为是拨号进来后访问服务器，所以流出接口是服务器所在接口。源IP为默认地址对象，和其它策略不同的时，这里需要加入用户或用户组，目标地址是服务器的地址对象，服务选择ALL，由于服务器和port7接口在同一网段，因此不需要启用NAT。点击【OK】，策略配置完成。到这一步，防火墙的配置就全部完成了。

  FortiClient配置

　　FortiClient客户端软件相信大家已经非常熟悉了，这里就不再讲述其下载与安装了。

　　① 这里以苹果电脑为例（Windows下也基本上一样），电脑位于工程师的家中，在电脑上打开FortiClient客户端软件，点击【配置VPN】。

　　② VPN默认为【SSL-VPN】，输入自定义的连接名，输入深圳总部防火墙Wan口的IP地址，由于SSL VPN端口已经由默认的443改为10443，因为这里手动输入端口，记得前面的【自定义端口】一定要钩选，不然你填了10443也会被当成默认的443 ，点击【保存】。

　　③ 返回登录界面，输入防火墙上创建的用户名和密码，点击【连接】。

　　④ 正常情况下会提示证书信息，这里点击【Continue】继续。

　　⑤ 出现上面信息表示拨号连接成功。

　　⑥ 工程师在家中可以成功的访问深圳总部防火墙的服务器了。