SSLVPNウェブモードで"listen at" IPアドレスを制限する方法は?

こんにちは。

SSLVPNデーモンが選択したインターフェースのIPアドレスをリッスンしていることは知っています。今、私のインターフェースには多くのセカンダリIPアドレスが設定されているため、SSLVPNデーモンを希望のアドレスだけに制限したいです。

これを実現する方法をご存知ですか?私はFOS 7.0.12を使用しており、CLIでは役立つものを見つけられませんでした。

よろしくお願いします。

一般的には、sslvpnが内部のループバックインターフェースをリッスンし、そのトラフィックをそのループバックインターフェースにマッピングするVIPを設定するのが普通のやり方だと思います。

Ultraviolet Networks - Use case explorer - SSLVPNをループバックインターフェースで終了

IPを現在のインターフェースではなく、別のインターフェースに割り当てるのです。なぜ複数のセカンダリIPが必要なのですか?これらはFortiGateには不要ではないですか。VIPやIPプールは実際にNICにバインドされる必要のあるIPアドレスを持たないことを意味します。私がセカンダリIPを使った唯一のケースはAzureやAWSで、VPNトンネルにセカンダリIPを使いたかったからです…

ローカルインポリシーを使って、SSLVPNのポートを特定のIPだけで許可し、他は拒否することもできます。

これが"一般的な方法"ではないと思いますが、確かに良いアイデアですね!

ありがとうございます!

いいえ。IPを別のインターフェースに割り当てる(SSLVPNデーモンがリスニングしている外部インターフェースではない場合)、その場合はその特定のIPアドレスの機能を失います。

複数のセカンダリIPアドレスが必要なのは、それぞれに異なるFQDNが登録されており、それを使って異なるクライアントがIPSec VPNトンネル接続を行うためです。セカンダリIPはプロバイダー非依存の範囲(PIA)に属しており、実際のISPから提供された公的/30サブネットを使用しているため、これらはプライマリIPアドレスとして設定されていません。

VIPやIPプールは私の状況では役立ちません。前者は内部IPアドレス(FortiGate自体のものではない)をマッピングする必要があり、後者は主にアウトゴーイングNATのために使用します。

それは正しいです - 考えていませんでした。ありがとうございます。

私が何度もやったのはこういう方法です。本当にトラフィック制御を細かく設定できます。

どのような細かさの話ですか?例をいくつか教えてください。

(いつかこの設定を試してみようと思います)

従来のファイアウォールポリシーを使用して、VPNインターフェースへのアクセスを制御することです。ローカルインに比べて、地理的フィルタリングが最も気に入っていますが、安全プロフィールや外部リストを追加して、既知の悪意のあるIPをフィルタリングすることも可能です。

この方法の利点の一つは、ローカルインポリシーを使わずに、通常のセキュリティポリシーを使ってVIPへのアクセス制御ができることです。

それは良いですね、CLI(local-in-policy)を使わなくても。ですが、SSLVPNアクセスの粒度を増すには何かありますか?