FG110C SSL VPN Web‐only Mode 設定說明 臺中市學術網路管理委員會榮譽委員 沈俊達
壹、功能與優缺點
將學務系統利用防火牆阻擋校外連線要求(port80),只允許校內存取,以增加資安。教師在校外
時,需使用 SSLVPN 連入,利用 proxy 功能存取學務系統或校內網路磁碟機等內部資源。
優點:僅需瀏覽器及 Java runtime 環境,一般老師容易上手操作。
缺點:無法透過 proxy 支援連線 Internet(未來電子公文線上簽核鎖校內連線)。
貳、本次示範網路架構(port8 不一定要有)
參、建立防火牆位址物件
操作步驟:防火牆物件位址建立新的
一、FG‐110C public ip 位址:以本市目前網路架構就是 wan1 的位址
例如:fg‐110c(163.17.235.253) 注意:正常各校應該為 163.17.xxx.254,本校為特例。
二、學校整個 ipv4 網段位址:
例如:fuyaes_ipv4(163.17.235.0/255.255.255.0)
三、sslvpn_tunnel_address:Web‐only Mode 用不到,但是將來 Tunnel Mode 要用,所以先設定以
無妨,請找一段不常使用的 Private IP 位址。
肆、建立防火牆服務物件
操作步驟:防火牆物件服務用戶自訂建立新的
名稱:自由設定
目的埠:10443
伍、設定 SSL VPN
操作步驟:VPNSSLSSL 設定
登入埠號:預設為 10443,建議依照預設值(方便未來 tunnel mode 配合 FortiClient SSLVPN)
DNS 主機和 WINS 主機請設定學校的 DNS Server 和 WINS Server(無 WINS Server 則免)
陸、新增入口頁面
入口頁面是指當隸屬於某個群組的使用者通過帳號密碼驗證後,接下來所看到的頁面
操作步驟:VPNSSLSSL 入口頁面建立新的
以 Web‐only Mode 來說,建議入口頁面就是放置「連線對話資訊」和「書籤」二個 Widget 即可
一、編輯設定:
1. 名稱:為這個入口頁面取一個名字,稍後設定使用者群組時,要指定隸屬於該群組的人
登入後,應該要使用哪一個入口頁面時會用到。
2. 應用軟體:允許這個入口頁面使用哪些服務,有勾選的稍後才能出現在設定書籤時的選
項。(請視貴校需提供的服務來勾選)
3. 首頁訊息:就是這個網頁的 Title。
4. 頁面格式:自行決定要單欄還是雙欄版面。
5. 重新導向網址:使用者登入後,彈出另一個指定的網頁。(例如貴校首頁)
二、請將「Connection Tool」和「Tunnel Mode」這二個 Widget 刪除。
三、編輯「Session Information」Widget:(可做可不做)
1. 點選「筆」,進入編輯狀態
2. Name:輸入這個 Widget 的 Title
四、編輯「Bookmarks」Widget:(提供連線服務的簡便書籤)
1. 點選「筆」,進入編輯狀態
2. 名稱:輸入這個 Widget 的 Title
點選新增,建立新的書籤
3. 示範:建立連線到學務系統的書籤
4. 示範:建立連線到共用資料夾(網芳、Samba)
\\server\資源分享區 (server 為提供服務主機的電腦名稱,用 ip 也可以)
五、完成所有的書籤後,請點選左上角的「OK」,完成這個入口頁面的建置。
柒、新增使用者帳號(先示範最簡單的本機帳號,以後再介紹 RADIUS 認證)
操作步驟:使用者認證使用者認證建立新的
密碼建議至少 6 個字元
捌、新增使用者群組
操作步驟:使用者認證使用者群組使用者群組建立新的
1.名稱:自訂一個適當的群組名稱
2.群組類型:防火牆
3.勾選「允許 SSL‐VPN 存取」並選擇剛剛建立的「Web Access Only Protal」,意思是隸屬於這個群
組的使用者登入後會使用「Web Access Only Protal」這個入口頁面。
4.將上一步驟新建的使用者帳號(sslvpn_user1)加入這個群組的成員。
玖、建立防火牆規則(總共 3 條規則)
這部分是 Fortigate SSL VPN 設定的最重要觀念,無論是官方文件或是網路上的範例,wan2 接
Internet 的位址一定都是 Public IP,wan1 接 Internal 的位址一定是 Private IP。但是偏偏學術網路
剛好相反,wan2 接 Internet 的位址居然是 Private IP,wan1 接 Internal 的位址反而是 Public IP。
所以很多人看了許多文件還是觀念模糊,似懂非懂。因此接下來除了實作外,請務必徹底瞭解每
一個規則的原理。
操作步驟:規則防火牆策略防火牆策略建立新的
一、允許 wan2(校外)的 all 對 wan1(校內真實 IP 網段)的學校整個 ipv4 網段位址,放行 ssl‐vpn 行
為。請注意:圖中 1 號目的位址名稱若設為 all 或 fg‐110c 雖然也都可以達到目的,但是若是
設為 all,將來在 Tunnel Mode 時若採用分離通道模式,會出現錯誤(因為無法判斷目的網段,
就無法調整 client 端路由設定)。若設為 fg‐110c,則稍後書籤會無法連線(因為只能對
163.17.xxx.254 做 ssl vpn 動作)
按下圖中 2 號按鈕,設定哪些 SSL‐VPN 群組可以進行 SSL‐VPN。
最後按下下圖中的確定鈕,就完成 SSL‐VPN 行為的放行
二、無論是官方文件或是網路上的範例,都指出只要完成這條規則,就可以用
https://wan2_IP:10443 連線準備登入,可惜的是前面已經說明學校的 wan2 是 Private
IP(10.200.xxx.xxx),也就是說只能在市網管轄範圍內 A 校對 B 校進行
https://10.200.16.126:10443(如下面圖片)
因為您在家中(市網以外),絕對無法連線 10.200.xxx.xxx 這種 Private IP 的。
三、為了要能 https://163.17.xxx.254:10443 來出現 SSL‐VPN 登入畫面,必須再增加 2 條規則,這
是因應學術網路目前架構必須的作法。
四、允許 wan2(校外)的 all 對 wan1(校內真實 IP 網段)的 fg‐110c(163.17.xxx.254)
放行:port443 和 port10443
原理:因為我要對 wan1 的位址 163.17.xxx.254 進行 https://163.17.xxx.254:10443 連線
當然要放行 port443 和 port10443
五、允許 wan1(校內)的 fg‐110c 對 sslvpn 通道介面(ssl‐root)的 sslvpn_tunnel_address,放行 ssl‐vpn
行為。請注意:圖中 1 號目的位址名稱若設為 all 雖然也可以達到目的,但是若是設為 all,
將來在 Tunnel Mode 時若採用分離通道模式,會出現錯誤(因為無法判斷目的網段,就無法
調整 client 端路由設定)。
其實圖中的「目的介面/域名」設為 port1~port8 或 wan1~wan2 任何一個介面,都可以。
原理:這條規則才是真正的 SSL‐VPN,因為前面步驟四對 wan1 的 163.17.xxx.254 放行 port443
及 port10443,我們僅能從 wan2 以 https://163.17.xxx.254:10443 連線到 wan1,因此才需要
從 wan1 的 163.17.xxx.254 對任何一介面再做一次 SSL‐VPN 行為。
壹拾、 連線示範
一、https://163.17.xxx.254:10443,請點選「繼續瀏覽此網站」
二、輸入帳號密碼
三、登入成功
四、連線學務系統:
請點選「學務系統」書籤,會開出新的視窗以
https://163.17.235.253:10443/proxy/http/sfs.fuyaes.tc.edu.tw/sfs3/ 方式連線學務系統
如此一來,貴校便可將學務系統拒絕從校外直接存取,規定老師一定要從 ssl‐vpn 連入後,
透過 proxy 來連線。
如果您無法連線,請檢查步驟「玖之一」:一定要設為貴校整個 ipv4 網段。
五、存取網芳資源(共用資料夾或 Samba)
請點選「校內 P:磁碟~資源分享區」書籤,會開出新的視窗,請輸入登入這台主機的帳密
壹拾壹、 探討
一、請問當使用者通過帳號密碼驗證,進入 SSLVPN 入口頁面時,他的電腦 IP 位址變更了嗎?
答:沒變,還是原來所在位置 ISP 提供的位址,可從 SSL‐VPN 監視頁面證明。
二、這時防火牆認定他的位址是在 wan1,wan2 或是 ssl.root 介面?
答:當然是 wan2。
三、那這時我連線學校內部網頁,會判斷我是校內還是校外連線?
答:這個分兩個層次來解釋,第一由於是透過 https://163.17.xxx.254:10443/proxy/http/學務
系統網址/,所以 web server 會認為是 163.17.xxx.254 這個 proxy 要求連線,所以 web server
會判定是校內。例如下圖是本校留言版,可以發現來源位址是 163.17.235.253。
第二部分則是網頁程式的判讀,學務系統的開發人員太厲害了,即使你透過 proxy 連線,他
還是可以正確取得您背後原始的 IP 位址,所以還是認定您是在校外,因此校內文件還是無
法觀看(除非登入)。下圖可證明:
四、如果學務系統在 port8 的 Private IP,這時要如何連線?
答:新增一條防火牆規則
允許 wan2(校外)的 all 對 port8 的整個 Private IP 網段位址,放行 ssl‐vpn 行為。
(圖中的 192.168.8 是防火牆位址物件,指的是 192.168.8.0/255.255.255.0)
示範:例如本校 port8 為電腦教室網段(192.168.8.0/24),其中有一部 48 埠交換器 IP 位址為
192.168.8.1
五、可以新增一個書籤連到 Internet 嗎?
答:理論上可行,但因學術網路目前 wan2 是 Private IP,所以無解。
新增一條防火牆規則
允許 wan2(校外)的 all 對 wan2 的 all,放行 ssl‐vpn 行為。(很神奇的規則吧!你可能想都沒想
過還可以 wan2 對 wan2 放行),為何是 wan2,不要忘記第二題的答案。
示範:可以到市網管轄內的各校喔!
但是到不了市網以外
請看下圖,您知道原因了吧!(不要被誤導,和 ipv6 沒關係)
所以不要想用 Web‐only Mode 來解決電子公文線上簽核將來要求僅限校內 IP 連線的規範,
那個一定要用 Tunnel Mode 來解決!
結語:Web‐only Mode 雖然使用方便但功能有限,且透過 Proxy 方式,常常有些網頁圖片無法正常
顯示,因此建議還是採用 Tunnel Mode 方式較佳。
2013‐1‐12