Forum
Merhaba,
Fortigate 60E cihazımız üzerinden SSL VPN ile, dışardan içeriye domain hesabını kullanarak giriş yapılsın istiyorum. AD Server işletim sistemimiz Server 2012 R2 ve Fortigate 60E firewall kullanıyoruz. Araştırmama göre aşağıdaki adımları uygulamam gerekiyor ve uygulamaya geçmeden önce emin olmak istedim.
- AD üzerinde "Fortigate FSSO" kurularak firewall ile entegrasyonu sağlıyoruz
- Firewall cihazı üzerinde ldap Server ayarları yapılandırıyoruz.
- Son olarak forticlient uygulaması ile dışardan içeriye bağlantı yapıyoruz.
FSSO yapılandırması için yardım alacağım makaleler;
https://www.beyaz.net/tr/guvenlik/makaleler/fortinet_fsso_kurulumu.html
http://www.aliguvenyilmazturk.com.tr/fortinet-active-directory-entegrasyonu-single-sign-on-fsso/
Fortigate LDAP Server yapılandırması için yardım alacağım makaleler;
https://eminarslantay.wordpress.com/2014/03/
https://docs.fortinet.com/uploaded/files/1684/authenticating-SSL-VPN-users-using-LDAP.pdf
Kafamdaki soru; FSSO şart mı, FSSO kurulumu yapmadan, fortigate cihaz üzerinde makalede ki gibi LDAP yapılandırmasıyla istediğimi yapabilirmiyim? Yapılabilir ise; ne sıklıkla AD üzerinden kullanıcıları otomatik olarak çekerek günceller ya da güncellemiyor direk AD den mi sorguluyor zaten? Eksikya da yanlış gördüğünüz aşamalar var mı bilgi verirseniz sevinirim. Verdiğiniz bilgiler doğrultusunda işleme başlamayı düşünüyorum. Şimdiden teşekkürler.
Merhaba,
SSL VPN i LDAP ile Active Directory e bağlamak için FSSO tanımlamanız gerekmiyor.
SSL VPN i LDAP ile Active Directory ile doğrulama yapmak için aşağıdaki adımları sırası ile ve dikkatlice yapmanız yeterli olacaktır.
1 - Active Directory tarafında bir security grup açın SSL_VPN vb. bir isimde ve SSL VPN yapmak istediğiniz kullanıcıları bu gruba üye yapın.
2- Firewall tarafında ( model bağımsız ) , users altında ldap ta yeni bir AD bağlantısı tanımlayın, bunun ayarlarında default cn yazan yere sAMAccountName yazın. username girerken örneğin [email protected] şeklinde girin. type kısmında regular kullanın ve hesap bilgilerinizi sol köşedeki test ile doğrulayın. fail alıyorsanız buradaki bilgiler hatalı yapılandırmada sorun var. success almanız gerekiyor.
3- Users altında groups 'a gidin ve buradan new grup dediğinizde gelen saydada grupa bir isim verin FW_VPN_Group gibi. Type Firewall olacak, altta REMOTE GROUP 'ta 2. adımda oluşturduğunuz AD bağlantısı seçin ve altta da 1. adımda oluşturduğunuz Security grup u seçin ve onaylayarak ekranları grubu oluşturun.
4- SSL VPN Settings e gidin ve sayfanın alt tarafında mapping i göreceksiniz, burada da 3. adımdaki grubunuzu seçip ilgili portal ile eşleştirin örneğin tunnel-access ile ve sayfayı apply ile onaylayıp çıkın.
5- Policy ekranına gelin ve yeni bir policy yazın , source interface ssl.root , destination interface sizin local, dmz yada server network ünüz, source address all seçeceksiniz sağdan ama hemen yanında sağda users tabınında 3. maddede oluşturduğunuz grubu seçeceksiniz. destination address te all diyemezsiniz, gitmesini istediğiniz sunucu/ip vs. seçerek kuralı oluşturun.
son olarak artık vpn e bağlanabilirsiniz.
kolay gelsin,
yB
Merhaba,
SSL VPN i LDAP ile Active Directory e bağlamak için FSSO tanımlamanız gerekmiyor.
SSL VPN i LDAP ile Active Directory ile doğrulama yapmak için aşağıdaki adımları sırası ile ve dikkatlice yapmanız yeterli olacaktır.
1 - Active Directory tarafında bir security grup açın SSL_VPN vb. bir isimde ve SSL VPN yapmak istediğiniz kullanıcıları bu gruba üye yapın.
2- Firewall tarafında ( model bağımsız ) , users altında ldap ta yeni bir AD bağlantısı tanımlayın, bunun ayarlarında default cn yazan yere sAMAccountName yazın. username girerken örneğin [email protected] şeklinde girin. type kısmında regular kullanın ve hesap bilgilerinizi sol köşedeki test ile doğrulayın. fail alıyorsanız buradaki bilgiler hatalı yapılandırmada sorun var. success almanız gerekiyor.
3- Users altında groups 'a gidin ve buradan new grup dediğinizde gelen saydada grupa bir isim verin FW_VPN_Group gibi. Type Firewall olacak, altta REMOTE GROUP 'ta 2. adımda oluşturduğunuz AD bağlantısı seçin ve altta da 1. adımda oluşturduğunuz Security grup u seçin ve onaylayarak ekranları grubu oluşturun.
4- SSL VPN Settings e gidin ve sayfanın alt tarafında mapping i göreceksiniz, burada da 3. adımdaki grubunuzu seçip ilgili portal ile eşleştirin örneğin tunnel-access ile ve sayfayı apply ile onaylayıp çıkın.
5- Policy ekranına gelin ve yeni bir policy yazın , source interface ssl.root , destination interface sizin local, dmz yada server network ünüz, source address all seçeceksiniz sağdan ama hemen yanında sağda users tabınında 3. maddede oluşturduğunuz grubu seçeceksiniz. destination address te all diyemezsiniz, gitmesini istediğiniz sunucu/ip vs. seçerek kuralı oluşturun.
son olarak artık vpn e bağlanabilirsiniz.
kolay gelsin,
yB
Cevap için teşekkürler. Yalnız 4.adım da bir sıkıntı yaşıyorum. SSL VPN Settings bölümünün en alt kısmında "Authentication/Portal Mapping" bölümü var. Create New ile 3.adımdaki oluşturduğum grubu ve portal türünü seçip uyguluyorum. Uyguladıktan sonra SSL VPN Settings bölümüne geçiyor. Burada sadece mapping ayarlarını kaydetmesi için başka bir ayara dokunmadan uygula diyorum. Fakat aşağıda gördüğünüz ekran görüntüsündeki gibi bazı bilgileri girmemi zorunlu kılıyor.
[url= https://i.hizliresim.com/JDrJJW.jp g" target="_blank">https://i.hizliresim.com/JDrJJW.jp g"/> [/img][/url]
Merhabalar
- 443 portu (muhtemelen management için ) kullanılıyor vpn için başka port seçmenizi istiyor örneğin 4443 gibi bir port verebilirsiniz.
- - Allow access from any host diyebilir veya vpn ile erişmesiniz istediğiniz ip adreslerini gruplayıp onları belirtebilirsiniz
- - Vpn ile bağlanan kullanıcılara atayacağınız ip adreslerini soruyor bunu da custom kısmından tanımlayabilir veya Automatically assign adres diyebilirsiniz.
iyi çalışmalar
Merhabalar
- 443 portu (muhtemelen management için ) kullanılıyor vpn için başka port seçmenizi istiyor örneğin 4443 gibi bir port verebilirsiniz.
- - Allow access from any host diyebilir veya vpn ile erişmesiniz istediğiniz ip adreslerini gruplayıp onları belirtebilirsiniz
- - Vpn ile bağlanan kullanıcılara atayacağınız ip adreslerini soruyor bunu da custom kısmından tanımlayabilir veya Automatically assign adres diyebilirsiniz.
iyi çalışmalar
Son Adımda şöyle bir uyarı alıyorum;
[url= https://i.hizliresim.com/6N7WXk.jp g" target="_blank">https://i.hizliresim.com/6N7WXk.jp g"/> [/img][/url]
Merhaba sorunu çözüm sanırım. Şuan SSL VPN bağlantısı yapabiliyorum. Sadece oluşturduğum grubu degil, birde all eklediğimde uyarı vermedi bu şekilde kuralı oluşturdum. Kontrolünü sağladığımda sadece AD de oluşturduğum gruba üye olan kullanıcılar VPN yapabiliyor. Yani sorunsuz çalışıyor. Yardımlarınız için çok teşekkürler... Kafama takılan ufak bir sorum olacak size; SSL VPN ile sadece tunnel mode ile bağlanan kullanıcı kendi internetini mi, bağlı olduğu lokasyonun internetini mi kullanır? Böyle bir ayar varsa defaultta kendi internetini kullanacaktır muhtemelen, ama merak ettiğim için sormak istedim.
Normalde kendi internetini kullanır sadece vpn için izin verdiğiniz ip veyta ip blogu için size gelir
kullanıcıyı kendi ücerinizden nete çıakrmak isterseniz split-tunel özelliğini açmalısınız
bu arada kullanıcının nerden intenete çıktığını vpn bağlantısı sonrası www.ipadresimnedir.com adresine girerek test edebilkirsiniz.
Normalde kendi internetini kullanır sadece vpn için izin verdiğiniz ip veyta ip blogu için size gelir
kullanıcıyı kendi ücerinizden nete çıakrmak isterseniz split-tunel özelliğini açmalısınız
bu arada kullanıcının nerden intenete çıktığını vpn bağlantısı sonrası www.ipadresimnedir.com adresine girerek test edebilkirsiniz.
Yardımlarınız ve verdiğiniz bilgiler için teşekkürler tekrar.