SSL VPN sunucuları ve istemcileri için çift yığınlı IPv4 ve IPv6 desteği, bir istemcinin hem IPv4 hem de IPv6 trafiğinin geçmesine izin vermek için bir çift yığın tünel oluşturmasını sağlar. FortiGate SSL VPN istemcileri ayrıca diğer FortiGates’lerle ikili yığın tünelleri
oluşturmasına izin veren çift yığını destekler.
Web modunda bağlanan kullanıcılar, web portalına IPv4 veya IPv6 üzerinden bağlanabilir. Web portalının tercih edilen DNS ayarına bağlı olarak, IPv4 veya IPv6’daki yer imlerine erişebilirler.
Örnek
Bu örnekte FortiGate B, çift yığın etkinleştirilmiş bir SSL VPN sunucusu olarak çalışır. Tünel modunu ve web modunu SSL VPN’i desteklemek için bir test portalı yapılandırılmıştır.
FortiGate A, bir SSL VPN tünel bağlantısı kurmak için FortiGate B’ye bağlanan bir SSL VPN istemcisidir. Ayrı IPv4 ve IPv6 bağlantıları aracılığıyla www.bing.com ve www.apple.com’a erişmeye çalışır. FortiGate B’de iki adres yapılandırılmıştır:
- bing.com , IPv4 FQDN’yi kullanır ve 13.107.21.200 ve 204.79.197.200’e çözümlenir.
- apple_v6 , IPv6 FQDN’yi kullanır ve 2600:140a:c000:385::1aca ve
2600:140a:c000:398::1aca’ya çözümlenir.
Kullanılan sunucu sertifikası fgt_gui_automation ve CN’si *.fos.automation.com’dur.
Bir PC, SSL VPN web modunda FortiGate B’ye bağlanmak için bir istemci görevi görür. PC, IPv4 veya IPv6 üzerinden SSL VPN sunucusuna bağlanabilir. Tercih edilen DNS ayarına bağlı olarak, hedef web sitesine IPv4 veya IPv6 üzerinden erişecektir.
Çift yığın tünel modu desteği, desteklenen bir istemci gerektirir. 7.0.0’da, SSL VPN istemci modunda bir FortiGate, çift yığın tünelleri destekleyebilir. Mevcut FortiClient 7.0.0 sürümü çift yığını desteklemiyor.
GUI’de çift yığın desteği ile tünel ve web modunda bir SSL VPN sunucusunu yapılandırmak için:
1. Yerel bir kullanıcı oluşturun:
a. Git Kullanıcı & Kimlik> Kullanıcı Tanımı ve tıklatın Yeni Oluştur . Kullanıcılar / Gruplar Oluşturma Sihirbazı açılır.
b. Set Kullanıcı Tipi için Yerel Kullanıcı ve tıklayın İleri .
c. Gir Kullanıcı Adı ( istemci2 ) ve şifreyi, ardından İleri .
d. İsteğe bağlı olarak, iletişim bilgileri yapılandırıp tıklayın İleri .
e. Gönder ‘i tıklayın.
2. Adresleri yapılandırın:
a. Git Politikası ve Nesne> Adresler ve tıklayın > Adres Yeni Oluştur .
b. IPv4 adresi için aşağıdakileri girin:
c. Tıklayın Tamam.
d. Tıklayın Yeni> Adres Oluşturma ve IPv6 adresi için aşağıdaki girin:
e. Tıklayın Tamam .
3. SSL VPN portalını yapılandırın:
a. Git VPN> SSL VPN Portalları ve tıklatın Yeni Oluştur .
b. Bir ad girin ( testportal1 ).
c. Tünel Modunu Etkinleştir ve Bölünmüş Tünel Oluşturmayı Etkinleştir için, İlke Hedefine Göre Etkinleştir‘i seçin .
d. İçin kaynak IP Havuzlar , eklemek SSLVPN_TUNNEL_ADDR1 .
e. Enable IPv6 Tünel Modu ve için Bölünmüş Tünellemesini etkinleştirme seçeneğini Politikası Hedef dayanarak etkinleştirin .
f. İçin kaynak IP Havuzlar , eklemek SSLVPN_TUNNEL_IPv6_ADDR1 .
g. Web Modunu Etkinleştir’i etkinleştirin .
h. Tıklayın Tamam .
4. SSL VPN ayarlarını yapılandırın:
a. Git VPN> SSL VPN Ayarları ve aşağıdaki yapılandırın:
b. Uygula‘yı tıklayın .
c. CLI’de çift yığını etkinleştirin:
config vpn ssl settings
set dual-stack-mode enable
end
5. Güvenlik duvarı ilkesini yapılandırın
a. Git Politikası ve Nesneler> Güvenlik duvarı Politikası ve tıklatın Yeni Oluştur .
b. Aşağıdakileri girin:
c. Tıklayın Tamam .
FortiGate A’yı GUI’de bir SSL VPN istemcisi olarak yapılandırmak için:
1. Sunucu sertifikasını doğrulamak için bir eş oluşturun:
PKI menüsü, yalnızca CLI kullanılarak bir PKI kullanıcısı oluşturulduktan sonra GUI’de ( Kullanıcı ve Kimlik Doğrulama > PKI ) kullanılabilir ve bir CN yalnızca CLI’de yapılandırılabilir. CA bilinmiyorsa veya herkese açıksa, sunucu sertifikasını imzalayan CA’yı içe aktarın.
a. Git Kullanıcı & Yetkilendirme> PKI ve tıklatın Yeni Oluştur .
b. Set Adı için fgt_gui_automation .
c. CA’yı sunucu sertifikasını doğrulamak için kullanılan CA sertifikasına ayarlayın .
d. Tıklayın Tamam .
e. CLI’de, eşleşmesi gereken CN’yi belirtin.
config user peer
edit “fgt_gui_automation”
set ca “GUI_CA”
set cn “*.fos.automation.com”
next
end
2. SSL VPN istemcisini yapılandırın:
a. Git VPN> SSL VPN Müşteriler ve tıklatın Yeni Oluştur .
b. Arabirim açılan açılan alanında Oluştur’a tıklayın
i. Bir Ad girin ( sslclient_port2 ).
ii. Set Arabirimi için port2 .
iii. Set Rol için LAN .
iv. Tıklayın Tamam .
c. SSL VPN istemcisini yapılandırın:
d. Tıklayın Tamam .
CLI’de çift yığın desteğiyle tünel ve web modunda bir SSL VPN sunucusunu yapılandırmak için:
1. Yerel bir kullanıcı oluşturun:
config user local
edit “client1”
set type password
set passwd ******
next
end
2. Adresleri yapılandırın:
config firewall address
edit “bing.com”
set type fqdn
set fqdn “www.bing.com”
next
end
config firewall address6
edit “apple_v6”
set type fqdn
set fqdn “www.apple.com”
next
end
3. SSL VPN portalını yapılandırın:
config vpn ssl web portal
edit “testportal1”
set tunnel-mode enable
set ipv6-tunnel-mode enable
set web-mode enable
set ip-pools “SSLVPN_TUNNEL_ADDR1”
set ipv6-pools “SSLVPN_TUNNEL_IPv6_ADDR1”
set split-tunneling enable
set ipv6-split-tunneling enable
next
end
4. SSL VPN ayarlarını yapılandırın:
config vpn ssl settings
set servercert “fgt_gui_automation”
set tunnel-ip-pools “SSLVPN_TUNNEL_ADDR1”
set tunnel-ipv6-pools “SSLVPN_TUNNEL_IPv6_ADDR1”
set port 1443
set source-interface “port1”
set source-address “all”
set source-address6 “all”
set default-portal “testportal1”
set dual-stack-mode enable
end
5. Güvenlik duvarı ilkesini yapılandırın:
config firewall policy
edit 1
set name “sslvpn”
set srcintf “ssl.root”
set dstintf “port2”
set srcaddr “all”
set dstaddr “bing.com”
set srcaddr6 “all”
set dstaddr6 “apple_v6”
set action accept
set schedule “always”
set service “ALL”
set nat enable
set users “client2”
next
end
FortiGate A’yı CLI’de bir SSL VPN istemcisi olarak yapılandırmak için:
1. Sunucu sertifikasını doğrulamak için bir eş oluşturun:
config user peer
edit “fgt_gui_automation”
set ca “GUI_CA”
set cn “*.fos.automation.com”
next
end
2. Arayüzü yapılandırın:
config system interface
edit “sslclient_port2”
set vdom “vdom1”
set type ssl
set role lan
set snmp-index 46
set interface “port2”
next
end
3. SSL VPN istemcisini yapılandırın. IPv4 adresi 10.1.100.9 veya IPv6 adresi 2000:10:1:100::9 kullanılabilir ve aynı sonuçları verir:
config vpn ssl client
edit “sslclientTo9”
set interface “sslclient_port2”
set user “client2”
set psk ******
set peer “fgt_gui_automation”
set server {10.1.100.9 | 2000:10:1:100::9}
set port 1443
next
end
Tünel moduyla çift yığını test etme
GUI’de SSL VPN tünel bağlantısını doğrulamak için:
1. FortiGate B’de Dashboard > Network‘e gidin .
2. SSL-VPN widget’ını genişletin .
CLI’de SSL VPN tünel bağlantısını doğrulamak için:
1. FortiGate B’de istemciye hem IPv4 hem de IPv6 adresleri atandığını doğrulayın:
(root) # get vpn ssl monitor
SSL VPN Login Users:
Index User Group Auth Type Timeout Auth-Timeout From HTTP in/out HTTPS in/out Two-factor Auth
0 client2 1(1) 292 2147483647 10.1.100.2 0/0 0/0 0
SSL VPN sessions:
Index User Group Source IP Duration I/O Bytes Tunnel/Dest IP
0 client2 10.1.100.2 5427 1756/1772 10.212.134.200,fdff:ffff::1
2. FortiGate A’da yönlendirme tablolarını doğrulayın.
a. www.bing.com için çözümlenmiş adresleri olan IPv4:
(vdom1) # get router info routing-table database
…
Routing table for VRF=0
S *> 0.0.0.0/0 [10/0] via 172.16.200.254, port1
C *> 10.0.1.0/24 is directly connected, link_11
C *> 10.1.100.0/24 is directly connected, port2
C *> 10.212.134.200/32 is directly connected, sslclient_port2
S *> 13.107.21.200/32 [10/0] is directly connected, sslclient_port2
C *> 172.16.200.0/24 is directly connected, port1
S *> 204.79.197.200/32 [10/0] is directly connected, sslclient_port2
b. www.apple.com için çözümlenmiş adreslerle IPv6:
(vdom1) # get router info6 routing-table database
…
S *> ::/0 [10/0] via 2000:172:16:200::254, port1, 01:57:23, [1024/0]
C *> ::1/128 via ::, vdom1, 06:12:54
C *> 2000:10:0:1::/64 via ::, link_11, 06:12:54
C *> 2000:10:1:100::/64 via ::, port2, 06:12:54
C *> 2000:172:16:200::/64 via ::, port1, 06:12:54
S *> 2600:140a:c000:385::1aca/128 [10/0] via ::, sslclient_port2,
01:33:08, [1024/0]
S *> 2600:140a:c000:398::1aca/128 [10/0] via ::, sslclient_port2,
01:33:08, [1024/0]
C *> fdff:ffff::/120 via ::, sslclient_port2, 01:33:08
C *> fe80::/64 via ::, port2, 06:12:54
Ping kullanarak adres bağlantılarını test etmek için:
1. FortiGate A’da IPv4 ping kullanarak www.bing.com’a ping atın:
# execute ping www.bing.com
PING www-bing-com.dual-a-0001.a-msedge.net (13.107.21.200): 56 data bytes
64 bytes from 13.107.21.200: icmp_seq=0 ttl=117 time=1.8 ms …
2. FortiGate B’de IPv4 ICMP paketlerini koklayın ve sonuçları gözlemleyin:
# diagnose sniffer packet any icmp 4
interfaces=[any]
filters=[icmp]
9.675101 ssl.root in 10.212.134.200 -> 13.107.21.200: icmp: echo request
9.675219 port2 out 172.16.200.9 -> 13.107.21.200: icmp: echo request
9.676698 port2 in 13.107.21.200 -> 172.16.200.9: icmp: echo reply
9.676708 ssl.root out 13.107.21.200 -> 10.212.134.200: icmp: echo reply
…
3. FortiGate A’da IPv6 pingini kullanarak www.apple.com’a ping atın:
# execute ping6 www.apple.com
PING www.apple.com (2600:140a:c000:385::1aca): 56 data bytes
64 bytes from 2600:140a:c000:385::1aca: icmp_seq=1 ttl=52 time=1.88 ms
…
4. FortiGate B’de IPv6 ICMP paketlerini koklayın ve sonuçları gözlemleyin:
# diagnose sniffer packet any icmp6 4
interfaces=[any]
filters=[icmp6]
3.564296 ssl.root in fdff:fff::1 -> 2600:140a:c000:385::1aca: icmp6: echo
request seq 1
3.564435 port2 out 2000:172:16:200::9 -> 2600:140a:c000:385::1aca: icmp6:
echo request seq 1
3.565929 port2 in 2600:140a:c000:385::1aca -> 2000:172:16:200::9: icmp6: echo
reply seq 1 [flowlabel 0x1fdff]
3.565953 ssl.root out 2600:140a:c000:385::1aca -> fdff:fff::1: icmp6: echo
reply seq 1 [flowlabel 0x1fdff]
…
Web moduyla çift yığını test etme
SSL VPN web modunda, kullanıcılar portaldaki hem IPv4 hem de IPv6 yer imlerine erişebilir. Öznitelik, prefer-ipv6-dnsönce IPv6 DNS’yi sorgulamayı tercih etmek için etkinleştirilebilir veya IPv4’ü sorgulamayı tercih etmek için devre dışı bırakılabilir.
Web portalına bir IPv4 bağlantısını test etmek ve IPv6 üzerinden www.bing.com’a erişmek için:
1. FortiGate B’de IPv6 adreslerini çözümlemeye öncelik verin:
config vpn ssl web portal
edit “testportal1”
set prefer-ipv6-dns enable
next
end
2. IPv4 adresi 10.1.100.9 üzerinden tarayıcıdan web portalına giriş yapın.
3. www.bing.com URL’si için bing adında yeni bir HTTP/HTTPS yer imi oluşturun .
4. bing yer işaretini tıklayın . Bing sayfası IPv6 üzerinden açılacaktır.
Web portalına bir IPv6 bağlantısını test etmek ve IPv4 üzerinden www.apple.com’a erişmek
için:
1. FortiGate B’de IPv4 adreslerini çözümlemeye öncelik verin:
config vpn ssl web portal
edit “testportal1”
set prefer-ipv6-dns disable
next
end
2. IPv6 adresi [2000:10:1:100::9] üzerinden tarayıcıda web portalında oturum açın.
3. www.apple.com URL’si için apple adında yeni bir HTTP/HTTPS yer imi oluşturun
4. Elma yer işaretini tıklayın . Apple sayfası IPv4 üzerinden açılacaktır.