Ci-dessous la procédure à suivre pour mettre en place la solution VPN SSL de Fortigate afin de permettre aux utilisateurs distants d'accéder aux ressources réseaux internes via un canal sécurisé à l'aide d'un navigateur Web ou du client lourd FortiClient.
Procédure réalisée sur un FortiGate 301E en 6.2.4.
Avant de commencer, vérifier que les Features VPN sont bien activées sur votre Firewall, pour cela aller dans System > Feature Visibility et cocher VPN et SSL-VPN Realms.
Aller dans VPN > SSL-VPN Settings.
Indiquer l'interface d'écoute (Le plus souvent l'interface qui dispose d'une IP publique),
Indiquer le port d'écoute (par défaut c'est le 443),
Vous pouvez restreindre l'accès à certaines IPs publiques si vous le souhaitez, sinon laisser l'option "Allow access from any host",
Sélectionner le certificat (si vous ne disposez pas encore de certificat laisser celui par défaut).
Indiquer la plage IP qui sera attribuée aux clients lors de leurs connexions au VPN SSL,
Indiquer les IPs des serveurs DNS ou laisser le choix "Same as client system DNS" si les DNS dans Network > DNS sont déjà les bons.
Aller dans VPN > SSL-VPN Portals et cliquer sur "Create New".
Indiquer le nom du portail,
Activer le mode "Tunnel Mode" pour une utilisation via le client lourd FortiClient,
Indiquer la plage IP créée précédemment.
* L'option Split Tunneling permet de ne pas faire passer certain flux à travers la connexion sécurisée SSL mais via par exemple la box internet du client (exemple Flux Messagerie).
Activer le mode "Web Mode",
Indiquer le nom du portail qui s'affichera pour les clients,
Ajouter un "Bookmark" afin de permettre au client de se connecter à une ressource interne à l'entreprise sans forcément lancer le client lourd.
Action non obligatoire ! Aller dans VPN > SSL-VPN Realms et cliquer sur "Create New".
Indiquer le nom du path de l'URL (ex : Dosi) ce qui nous donnera (https://vpnssl.frenchnetworkengineer.fr/Dosi),
Vous pouvez personnaliser la page d'authentification en cliquant sur "Edit".
Aller dans User & Device > User Groups et cliquer sur "Create New".
Vous avez deux possibilités :
LDAP AD (ci-dessous)
AZURE AD - voir post FortiGate - SAML SSO login with Azure AD
Dans cette partie nous allons utiliser un groupe d'utilisateur qui se trouve dans l'annuaire LDAP, afin de savoir comment faire la jonction entre le FortiGate et le serveur AD merci d'aller voir le post "FortiGate LDAP Servers".
Indiquer le nom du groupe d'utilisateur,
Dans "Type" sélectionner "Firewall",
Ajouter un groupe distant (LDAP) en cliquant sur "Add".
Sélectionner votre serveur LDAP,
Effectuer une recherche dans votre annuaire LDAP afin de retrouver votre groupe et faite un clic droit et cliquer sur "+ Add Selected".
Aller dans VPN > SSL-VPN Settings dans la section "Authentification/Portal Mapping" et cliquer sur "Create New".
Sélectionner le groupe d'utilisateur créé précédemment,
Indiquer le Realm créé auparavant,
Sélectionner votre Portal.
Aller dans Policy & Objects > IPv4 Policy et cliquer sur "Create New".
Mettre un nom à votre Policy,
Dans "Incomming Interface" mettre "SSL-VPN Tunnel..." et pour "Outgoing Interface" mettre votre interface LAN,
Dans "Source" mettre la plage IP créé + le groupe d'utilisateur,
Dans "Destination" les ressources qui seront joignables à travers la connexion SSL,
Dans "Service" les services liés à vos destinations qui seront joignables à travers la connexion SSL,
L'action de la Policy,
Si votre plage IP est routée ne pas activer le NAT sinon activer le. Si vous utilisez uniquement le mode Web l'activation du NAT est obligatoire car les clients se présenterons avec leur IP Publique.
Lien pour le client lourd "FortiClient VPN" : https://www.forticlient.com/downloads
Connexion via le FortiClient "Tunnel mode"
Connexion via le "Web mode"
Ex (https://vpnssl.frenchnetworkengineer.fr/Dosi),
Pour plus d'informations : https://docs.fortinet.com/document/fortigate/6.2.4/cookbook/371626/ssl-vpn