FortiGate - SSL VPN

Ci-dessous la procédure à suivre pour mettre en place la solution VPN SSL de Fortigate afin de permettre aux utilisateurs distants d'accéder aux ressources réseaux internes via un canal sécurisé à l'aide d'un navigateur Web ou du client lourd FortiClient.

Procédure réalisée sur un FortiGate 301E en 6.2.4.

Avant de commencer, vérifier que les Features VPN sont bien activées sur votre Firewall, pour cela aller dans System > Feature Visibility et cocher VPN et SSL-VPN Realms.

• Aller dans VPN > SSL-VPN Settings.

1. Indiquer l'interface d'écoute (Le plus souvent l'interface qui dispose d'une IP publique),

2. Indiquer le port d'écoute (par défaut c'est le 443),

3. Vous pouvez restreindre l'accès à certaines IPs publiques si vous le souhaitez, sinon laisser l'option "Allow access from any host",

4. Sélectionner le certificat (si vous ne disposez pas encore de certificat laisser celui par défaut).

1. Indiquer la plage IP qui sera attribuée aux clients lors de leurs connexions au VPN SSL,

2. Indiquer les IPs des serveurs DNS ou laisser le choix "Same as client system DNS" si les DNS dans Network > DNS sont déjà les bons.

• Aller dans VPN > SSL-VPN Portals et cliquer sur "Create New".

1. Indiquer le nom du portail,

2. Activer le mode "Tunnel Mode" pour une utilisation via le client lourd FortiClient,

3. Indiquer la plage IP créée précédemment.

* L'option Split Tunneling permet de ne pas faire passer certain flux à travers la connexion sécurisée SSL mais via par exemple la box internet du client (exemple Flux Messagerie).

1. Activer le mode "Web Mode",

2. Indiquer le nom du portail qui s'affichera pour les clients,

3. Ajouter un "Bookmark" afin de permettre au client de se connecter à une ressource interne à l'entreprise sans forcément lancer le client lourd.

• Action non obligatoire ! Aller dans VPN > SSL-VPN Realms et cliquer sur "Create New".

1. Indiquer le nom du path de l'URL (ex : Dosi) ce qui nous donnera (https://vpnssl.frenchnetworkengineer.fr/Dosi),

2. Vous pouvez personnaliser la page d'authentification en cliquant sur "Edit".

• Aller dans User & Device > User Groups et cliquer sur "Create New".

Vous avez deux possibilités :

• LDAP AD (ci-dessous)

• AZURE AD - voir post FortiGate - SAML SSO login with Azure AD

Dans cette partie nous allons utiliser un groupe d'utilisateur qui se trouve dans l'annuaire LDAP, afin de savoir comment faire la jonction entre le FortiGate et le serveur AD merci d'aller voir le post "FortiGate LDAP Servers".

1. Indiquer le nom du groupe d'utilisateur,

2. Dans "Type" sélectionner "Firewall",

3. Ajouter un groupe distant (LDAP) en cliquant sur "Add".