Fortinet:SSL ××× 連接內網服務器實例
阿新 • • 發佈:2018-11-16
https協議 配置ssl 倒數 RoCE gate 目標地址 手冊 登陸 網關 客戶遇到ssl的連內網服務器問題,正好公司有一個小環境滿足這個需求。主要是解析一下公司fortigate防火墻以及Cisco交換機的配置。
註意 Enable Split Tunneling 是黑色的。
第四步驟了,進行setting,也就是配置,比如端口443默認是https協議的端口。所以我就將它更改為11443.
然後IP地址可以自己更改,我這臺設備默認是是個IP,其實可以更多,大概上百個同時在線,300,500的。可以自定義的,用戶數參數主要看產品手冊。
第五步,也就是最後一步,建立策略,來回的策略兩個都要建立,建兩個,我框上的最上面的第一個是lan-wan也就是上網策略。第二個是lan-ssl。第三個是ssl-lan。如果ssl要通過防火墻訪問Internet,可以寫一個ssl-wan的策略。註意lan-wan上網一定要開nat。但是如果是內網,並且環境不復雜的,也就是我現在實例的網絡情況,可以不開nat的。
然後接下來是測試。
我切換了公司附近的免費的無線局域網。然後登陸ssl***頁面,ping服務器網址172.16.1.201,以及ssh訪問皆成功如圖:
以上是公司拓撲圖:
centos服務器接在Cisco交換機上,假設網段是172.16.1.0,
服務器IP地址172.16.1.201.
cisco連接centos得IP是172.16.1.1。在Cisco
cisco接fortigate的IP是192.168.1.2。在Cisco
fortigate接Cisco得IP是192.168.1.1。在fortigate
防火墻連internet,配置SSl ×××。用戶撥號獲得的IP地址是10.212.314.200.
順序如下:
第一步先配置Cisco交換機和fortigate防火墻得路由如圖:
目標地址172.16.1.0,網關192.168.1.2,端口lan-Cisco。
然後路由確定ok後基本內部網絡環境就ok了。上網策略看另外的文章吧。
接下來創建ssl***。
第二部,註意先建立user,然後是user group如圖:
第三步驟,建立portals。在×××裏面一般是倒數第二個。有三個已經建立好的full模式和tunnel模式以及web模式,一般建議使用full。我比較習慣不開隧道分割。這個圖主要是指出不開隧道分割的狀態:
註意 Enable Split Tunneling 是黑色的。
第四步驟了,進行setting,也就是配置,比如端口443默認是https協議的端口。所以我就將它更改為11443.
然後IP地址可以自己更改,我這臺設備默認是是個IP,其實可以更多,大概上百個同時在線,300,500的。可以自定義的,用戶數參數主要看產品手冊。
第五步,也就是最後一步,建立策略,來回的策略兩個都要建立,建兩個,我框上的最上面的第一個是lan-wan也就是上網策略。第二個是lan-ssl。第三個是ssl-lan。如果ssl要通過防火墻訪問Internet,可以寫一個ssl-wan的策略。註意lan-wan上網一定要開nat。但是如果是內網,並且環境不復雜的,也就是我現在實例的網絡情況,可以不開nat的。
然後接下來是測試。
我切換了公司附近的免費的無線局域網。然後登陸ssl***頁面,ping服務器網址172.16.1.201,以及ssh訪問皆成功如圖:
Fortinet:SSL ××× 連接內網服務器實例