西宁摄网站制作,网站可信认证必须做吗,对外贸网站建设的建议,网上销售网站建设策划简介
使用不同用户组或用户登录 SSL VPN 隧道模式后#xff0c;可配置不同的访问权限。 本文介绍为不同用户组分配不同访问权限的配置方法。 相关组件 FortiGate#xff1a;FortiOS v6.4.14 build2093 (GA) 客户端#xff1a;Windows11#xff0c;安装 FortiClient VPN 7.…简介
使用不同用户组或用户登录 SSL VPN 隧道模式后可配置不同的访问权限。 本文介绍为不同用户组分配不同访问权限的配置方法。 相关组件 FortiGateFortiOS v6.4.14 build2093 (GA) 客户端Windows11安装 FortiClient VPN 7.2.3.0929 用户及用户组配置
config user localedit test1 //用于访问 Server1set type passwordset passwd-time 2014set passwd xxnextedit test2 //用于访问 Server2set type passwordset passwd-time 2014set passwd xxnext
end
config user groupedit ssl1 //用于访问 Server1set member test1nextedit ssl2 //用于访问 Server2set member test2next
end
地址对象配置
config firewall address edit server1 //定义 Server1 IP 地址set subnet 192.168.1.99 255.255.255.255nextedit server2 //定义 Server2 IP 地址set subnet 192.168.1.100 255.255.255.255nextedit ssl1addr //ssl1 用户组内用户 ssl 隧道模式分配的 IP 地址范围set type iprangeset start-ip 192.168.1.1set end-ip 192.168.1.100nextedit ssl2addr //ssl2 用户组内用户 ssl 隧道模式分配的 IP 地址范围set type iprangeset start-ip 192.168.100.101set end-ip 192.168.100.200next
edit local //用于配置隧道分割时可访问内网网段(非必须也
可以直接使用 ssl1addr 和 ssl2addr)set subnet 192.168.1.0 255.255.255.0next
endSSL VPN 配置
新建 Portal 新建两个 Portal在配置防火墙策略时分别应用于 ssl1 和 ssl2 用户组。 如果启用隧道分割需要选择 routing address即 SSL VPN 用户需要访问的 内网网段 IP。配置 source IP pools在关联用户组后不同的用户组拨入 SSL VPN 后会分配不同的 source IP pools 里的 IP 地址。SSL VPN setting 在 setting页面中除了要配置 SSL VPN 登录的端口号等信息外还可配置允许连接 SSL VPN 的主机 IP、登录用户超时时间、用户组与 Portal 关联等信息如下图所示
介绍如下 Listen on Interface在哪个接口上开启 SSL VPN一般为外部公网接口。 Listen on Port登录 SSL VPN 使用的端口号。默认为 443会有警告与 HTTPS 管理登录端口冲突。 Restrict Access可登录SSL VPN的源IP。通常选择为Allow access from any host。 Tunnel Mode Client Settings——Address Range如果选择 Automatically assign addresses会有提示为“隧道用户将得到 10.212.134.200 - 10.212.134.210 范围内 的 IP”但实测证明即使选择这项隧道用户得到的 IP 仍是在 Portal 里配置的 Source IP Pools 内的 IP。 Authentication/Portal Mapping此处配置用户组与 Portal 的对应关系。
防火墙策略配置
config firewall policyedit 2set srcintf ssl.rootset dstintf switchset srcaddr ssl1addrset dstaddr server1set action acceptset schedule alwaysset service ALLset logtraffic disableset groups ssl1nextedit 3set srcintf ssl.rootset dstintf switchset srcaddr ssl2addrset dstaddr server2set action acceptset schedule alwaysset service ALLset groups ssl2next
end结果验证
