Forum

Fortigate ile Domai...
 
Bildirimler
Hepsini Temizle

Fortigate ile Domain kullanıcılarını SSL Vpn ile bağlamak

8 Yazılar
3 Üyeler
0 Reactions
6,838 Görüntüleme
(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Merhaba,

 

Fortigate 60E cihazımız üzerinden SSL VPN ile, dışardan içeriye domain hesabını kullanarak giriş yapılsın istiyorum. AD Server işletim sistemimiz Server 2012 R2 ve Fortigate 60E firewall kullanıyoruz. Araştırmama göre aşağıdaki adımları uygulamam gerekiyor ve uygulamaya geçmeden önce emin olmak istedim.

 

  • AD üzerinde "Fortigate FSSO" kurularak firewall ile entegrasyonu sağlıyoruz
  • Firewall cihazı üzerinde ldap Server ayarları yapılandırıyoruz.
  • Son olarak forticlient uygulaması ile dışardan içeriye bağlantı yapıyoruz.

 

FSSO yapılandırması için yardım alacağım makaleler;

https://www.beyaz.net/tr/guvenlik/makaleler/fortinet_fsso_kurulumu.html

http://www.aliguvenyilmazturk.com.tr/fortinet-active-directory-entegrasyonu-single-sign-on-fsso/

 

Fortigate LDAP Server yapılandırması için yardım alacağım makaleler;

https://eminarslantay.wordpress.com/2014/03/

https://docs.fortinet.com/uploaded/files/1684/authenticating-SSL-VPN-users-using-LDAP.pdf

 

Kafamdaki soru; FSSO şart mı, FSSO kurulumu yapmadan, fortigate cihaz üzerinde makalede ki gibi LDAP yapılandırmasıyla istediğimi yapabilirmiyim? Yapılabilir ise; ne sıklıkla AD üzerinden kullanıcıları otomatik olarak çekerek günceller ya da güncellemiyor direk AD den mi sorguluyor zaten? Eksikya da yanlış gördüğünüz aşamalar var mı bilgi verirseniz sevinirim. Verdiğiniz bilgiler doğrultusunda işleme başlamayı düşünüyorum. Şimdiden teşekkürler.

 
Gönderildi : 18/05/2018 15:38

(@yilmazbarcin)
Gönderiler: 315
Illustrious Member
 

Merhaba,

SSL VPN i LDAP ile Active Directory e bağlamak için FSSO tanımlamanız gerekmiyor.

 

SSL VPN i LDAP ile Active Directory ile doğrulama yapmak için aşağıdaki adımları sırası ile ve dikkatlice yapmanız yeterli olacaktır.

 

1 - Active Directory tarafında bir security grup açın SSL_VPN vb. bir isimde ve SSL VPN yapmak istediğiniz kullanıcıları bu gruba üye yapın.

2- Firewall tarafında ( model bağımsız ) , users altında ldap ta yeni bir AD bağlantısı tanımlayın, bunun ayarlarında default cn yazan yere sAMAccountName yazın. username girerken örneğin [email protected] şeklinde girin.  type kısmında regular kullanın ve hesap bilgilerinizi sol köşedeki test ile doğrulayın. fail alıyorsanız buradaki bilgiler hatalı yapılandırmada sorun var. success almanız gerekiyor.

 

3- Users altında groups 'a gidin ve buradan new grup dediğinizde gelen saydada grupa bir isim verin FW_VPN_Group gibi. Type Firewall olacak, altta REMOTE GROUP 'ta 2. adımda oluşturduğunuz AD bağlantısı seçin ve altta da 1. adımda oluşturduğunuz Security grup u seçin ve onaylayarak ekranları grubu oluşturun.

 

4- SSL VPN Settings e gidin ve sayfanın alt tarafında mapping i göreceksiniz, burada da 3. adımdaki grubunuzu seçip ilgili portal ile eşleştirin örneğin tunnel-access ile  ve sayfayı apply ile onaylayıp çıkın.

5- Policy ekranına gelin ve yeni bir policy yazın , source interface ssl.root , destination interface sizin local, dmz yada server network ünüz, source address all seçeceksiniz sağdan ama hemen yanında sağda users tabınında 3. maddede oluşturduğunuz grubu seçeceksiniz. destination address te all diyemezsiniz, gitmesini istediğiniz sunucu/ip vs. seçerek kuralı oluşturun.

 

son olarak artık vpn e bağlanabilirsiniz.

 

kolay gelsin,

yB

 

 

 
Gönderildi : 19/05/2018 14:03

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Merhaba,

SSL VPN i LDAP ile Active Directory e bağlamak için FSSO tanımlamanız gerekmiyor.

 

SSL VPN i LDAP ile Active Directory ile doğrulama yapmak için aşağıdaki adımları sırası ile ve dikkatlice yapmanız yeterli olacaktır.

 

1 - Active Directory tarafında bir security grup açın SSL_VPN vb. bir isimde ve SSL VPN yapmak istediğiniz kullanıcıları bu gruba üye yapın.

2- Firewall tarafında ( model bağımsız ) , users altında ldap ta yeni bir AD bağlantısı tanımlayın, bunun ayarlarında default cn yazan yere sAMAccountName yazın. username girerken örneğin [email protected] şeklinde girin.  type kısmında regular kullanın ve hesap bilgilerinizi sol köşedeki test ile doğrulayın. fail alıyorsanız buradaki bilgiler hatalı yapılandırmada sorun var. success almanız gerekiyor.

 

3- Users altında groups 'a gidin ve buradan new grup dediğinizde gelen saydada grupa bir isim verin FW_VPN_Group gibi. Type Firewall olacak, altta REMOTE GROUP 'ta 2. adımda oluşturduğunuz AD bağlantısı seçin ve altta da 1. adımda oluşturduğunuz Security grup u seçin ve onaylayarak ekranları grubu oluşturun.

 

4- SSL VPN Settings e gidin ve sayfanın alt tarafında mapping i göreceksiniz, burada da 3. adımdaki grubunuzu seçip ilgili portal ile eşleştirin örneğin tunnel-access ile  ve sayfayı apply ile onaylayıp çıkın.

5- Policy ekranına gelin ve yeni bir policy yazın , source interface ssl.root , destination interface sizin local, dmz yada server network ünüz, source address all seçeceksiniz sağdan ama hemen yanında sağda users tabınında 3. maddede oluşturduğunuz grubu seçeceksiniz. destination address te all diyemezsiniz, gitmesini istediğiniz sunucu/ip vs. seçerek kuralı oluşturun.

 

son olarak artık vpn e bağlanabilirsiniz.

 

kolay gelsin,

yB

 

 

 

 

Cevap için teşekkürler. Yalnız 4.adım da bir sıkıntı yaşıyorum. SSL VPN Settings bölümünün en alt kısmında "Authentication/Portal Mapping" bölümü var. Create New ile 3.adımdaki oluşturduğum grubu ve portal türünü seçip uyguluyorum. Uyguladıktan sonra SSL VPN Settings bölümüne geçiyor. Burada sadece mapping ayarlarını kaydetmesi için başka bir ayara dokunmadan uygula diyorum. Fakat aşağıda gördüğünüz ekran görüntüsündeki gibi bazı bilgileri girmemi zorunlu kılıyor.

[url= https://i.hizliresim.com/JDrJJW.jp g" target="_blank">https://i.hizliresim.com/JDrJJW.jp g"/> [/img][/url]

 
Gönderildi : 21/05/2018 13:09

(@vasviuysal)
Gönderiler: 7890
Üye
 

Merhabalar

  • 443 portu (muhtemelen management için ) kullanılıyor vpn için başka port seçmenizi istiyor örneğin 4443 gibi bir port verebilirsiniz.
  • - Allow access from any host diyebilir veya vpn ile erişmesiniz istediğiniz ip adreslerini gruplayıp onları belirtebilirsiniz
  • - Vpn ile bağlanan kullanıcılara atayacağınız ip adreslerini soruyor bunu da custom kısmından tanımlayabilir veya Automatically assign adres diyebilirsiniz.

 

 

iyi çalışmalar

 

 

 

 
Gönderildi : 21/05/2018 13:21

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Merhabalar

  • 443 portu (muhtemelen management için ) kullanılıyor vpn için başka port seçmenizi istiyor örneğin 4443 gibi bir port verebilirsiniz.
  • - Allow access from any host diyebilir veya vpn ile erişmesiniz istediğiniz ip adreslerini gruplayıp onları belirtebilirsiniz
  • - Vpn ile bağlanan kullanıcılara atayacağınız ip adreslerini soruyor bunu da custom kısmından tanımlayabilir veya Automatically assign adres diyebilirsiniz.

 

 

iyi çalışmalar

 

 

 

 

 

Son Adımda şöyle bir uyarı alıyorum;

 

[url= https://i.hizliresim.com/6N7WXk.jp g" target="_blank">https://i.hizliresim.com/6N7WXk.jp g"/> [/img][/url]

 
Gönderildi : 21/05/2018 14:54

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Merhaba sorunu çözüm sanırım. Şuan SSL VPN bağlantısı yapabiliyorum. Sadece oluşturduğum grubu degil, birde all eklediğimde uyarı vermedi bu şekilde kuralı oluşturdum. Kontrolünü sağladığımda sadece AD de oluşturduğum gruba üye olan kullanıcılar VPN yapabiliyor. Yani sorunsuz çalışıyor. Yardımlarınız için çok teşekkürler... Kafama takılan ufak bir sorum olacak size; SSL VPN ile sadece tunnel mode ile bağlanan kullanıcı kendi internetini mi, bağlı olduğu lokasyonun internetini mi kullanır? Böyle bir ayar varsa defaultta kendi internetini kullanacaktır muhtemelen, ama merak ettiğim için sormak istedim.

 
Gönderildi : 21/05/2018 18:48

(@vasviuysal)
Gönderiler: 7890
Üye
 

Normalde kendi internetini kullanır sadece vpn için izin verdiğiniz ip veyta ip blogu için size gelir

kullanıcıyı kendi ücerinizden nete çıakrmak isterseniz split-tunel özelliğini açmalısınız

http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-sslvpn-54/SSLVPN_Examples_54/Split_Tunnel.htm

 

bu arada kullanıcının nerden intenete çıktığını vpn bağlantısı sonrası www.ipadresimnedir.com adresine girerek test edebilkirsiniz.

 
Gönderildi : 21/05/2018 18:57

(@tuncaypolat)
Gönderiler: 177
Reputable Member
Konu başlatıcı
 

Normalde kendi internetini kullanır sadece vpn için izin verdiğiniz ip veyta ip blogu için size gelir

kullanıcıyı kendi ücerinizden nete çıakrmak isterseniz split-tunel özelliğini açmalısınız

http://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-sslvpn-54/SSLVPN_Examples_54/Split_Tunnel.htm

 

bu arada kullanıcının nerden intenete çıktığını vpn bağlantısı sonrası www.ipadresimnedir.com adresine girerek test edebilkirsiniz.

 

Yardımlarınız ve verdiğiniz bilgiler için teşekkürler tekrar. 

 
Gönderildi : 22/05/2018 11:51

Paylaş: