简介
使用不同用户组或用户登录 SSL VPN 隧道模式后,可配置不同的访问权限。
本文介绍为不同用户组分配不同访问权限的配置方法。
相关组件
FortiGate:FortiOS v6.4.14 build2093 (GA)
客户端:Windows11,安装 FortiClient VPN 7.2.3.0929
用户及用户组配置
bash
config user local
edit "test1" //用于访问 Server1
set type password
set passwd-time 2014
set passwd xx
next
edit "test2" //用于访问 Server2
set type password
set passwd-time 2014
set passwd xx
next
end
config user group
edit "ssl1" //用于访问 Server1
set member "test1"
next
edit "ssl2" //用于访问 Server2
set member "test2"
next
end
地址对象配置
bash
config firewall address
edit "server1" //定义 Server1 IP 地址
set subnet 192.168.1.99 255.255.255.255
next
edit "server2" //定义 Server2 IP 地址
set subnet 192.168.1.100 255.255.255.255
next
edit "ssl1addr" //ssl1 用户组内用户 ssl 隧道模式分配的 IP 地址范围
set type iprange
set start-ip 192.168.1.1
set end-ip 192.168.1.100
next
edit "ssl2addr" //ssl2 用户组内用户 ssl 隧道模式分配的 IP 地址范围
set type iprange
set start-ip 192.168.100.101
set end-ip 192.168.100.200
next
edit "local" //用于配置隧道分割时,可访问内网网段(非必须,也
可以直接使用 ssl1addr 和 ssl2addr)
set subnet 192.168.1.0 255.255.255.0
next
end
SSL VPN 配置
- 新建 Portal
新建两个 Portal,在配置防火墙策略时,分别应用于 ssl1 和 ssl2 用户组。
如果启用隧道分割,需要选择 routing address,即 SSL VPN 用户需要访问的
内网网段 IP。配置 source IP pools,在关联用户组后,不同的用户组拨入 SSL VPN
后,会分配不同的 source IP pools 里的 IP 地址。 - SSL VPN setting
在 setting页面中,除了要配置 SSL VPN 登录的端口号等信息外,还可配置允许连接 SSL VPN
的主机 IP、登录用户超时时间、用户组与 Portal 关联等信息,如下图所示:
介绍如下:
Listen on Interface:在哪个接口上开启 SSL VPN,一般为外部公网接口。
Listen on Port:登录 SSL VPN 使用的端口号。默认为 443,会有警告与 HTTPS
管理登录端口冲突。
Restrict Access:可登录SSL VPN的源IP。通常选择为Allow access from any host。
Tunnel Mode Client Settings------Address Range:如果选择 Automatically assign
addresses,会有提示为"隧道用户将得到 10.212.134.200 - 10.212.134.210 范围内
的 IP",但实测证明,即使选择这项,隧道用户得到的 IP 仍是在 Portal 里配置的
Source IP Pools 内的 IP。
Authentication/Portal Mapping:此处配置用户组与 Portal 的对应关系。
防火墙策略配置
bash
config firewall policy
edit 2
set srcintf "ssl.root"
set dstintf "switch"
set srcaddr "ssl1addr"
set dstaddr "server1"
set action accept
set schedule "always"
set service "ALL"
set logtraffic disable
set groups "ssl1"
next
edit 3
set srcintf "ssl.root"
set dstintf "switch"
set srcaddr "ssl2addr"
set dstaddr "server2"
set action accept
set schedule "always"
set service "ALL"
set groups "ssl2"
next
end
结果验证