こんにちは。
SSLVPNデーモンが選択したインターフェースのIPアドレスをリッスンしていることは知っています。今、私のインターフェースには多くのセカンダリIPアドレスが設定されているため、SSLVPNデーモンを希望のアドレスだけに制限したいです。
これを実現する方法をご存知ですか?私はFOS 7.0.12を使用しており、CLIでは役立つものを見つけられませんでした。
よろしくお願いします。
こんにちは。
SSLVPNデーモンが選択したインターフェースのIPアドレスをリッスンしていることは知っています。今、私のインターフェースには多くのセカンダリIPアドレスが設定されているため、SSLVPNデーモンを希望のアドレスだけに制限したいです。
これを実現する方法をご存知ですか?私はFOS 7.0.12を使用しており、CLIでは役立つものを見つけられませんでした。
よろしくお願いします。
一般的には、sslvpnが内部のループバックインターフェースをリッスンし、そのトラフィックをそのループバックインターフェースにマッピングするVIPを設定するのが普通のやり方だと思います。
Ultraviolet Networks - Use case explorer - SSLVPNをループバックインターフェースで終了
IPを現在のインターフェースではなく、別のインターフェースに割り当てるのです。なぜ複数のセカンダリIPが必要なのですか?これらはFortiGateには不要ではないですか。VIPやIPプールは実際にNICにバインドされる必要のあるIPアドレスを持たないことを意味します。私がセカンダリIPを使った唯一のケースはAzureやAWSで、VPNトンネルにセカンダリIPを使いたかったからです…
ローカルインポリシーを使って、SSLVPNのポートを特定のIPだけで許可し、他は拒否することもできます。
これが"一般的な方法"ではないと思いますが、確かに良いアイデアですね!
ありがとうございます!
いいえ。IPを別のインターフェースに割り当てる(SSLVPNデーモンがリスニングしている外部インターフェースではない場合)、その場合はその特定のIPアドレスの機能を失います。
複数のセカンダリIPアドレスが必要なのは、それぞれに異なるFQDNが登録されており、それを使って異なるクライアントがIPSec VPNトンネル接続を行うためです。セカンダリIPはプロバイダー非依存の範囲(PIA)に属しており、実際のISPから提供された公的/30サブネットを使用しているため、これらはプライマリIPアドレスとして設定されていません。
VIPやIPプールは私の状況では役立ちません。前者は内部IPアドレス(FortiGate自体のものではない)をマッピングする必要があり、後者は主にアウトゴーイングNATのために使用します。
それは正しいです - 考えていませんでした。ありがとうございます。
私が何度もやったのはこういう方法です。本当にトラフィック制御を細かく設定できます。
どのような細かさの話ですか?例をいくつか教えてください。
(いつかこの設定を試してみようと思います)
従来のファイアウォールポリシーを使用して、VPNインターフェースへのアクセスを制御することです。ローカルインに比べて、地理的フィルタリングが最も気に入っていますが、安全プロフィールや外部リストを追加して、既知の悪意のあるIPをフィルタリングすることも可能です。
この方法の利点の一つは、ローカルインポリシーを使わずに、通常のセキュリティポリシーを使ってVIPへのアクセス制御ができることです。
それは良いですね、CLI(local-in-policy)を使わなくても。ですが、SSLVPNアクセスの粒度を増すには何かありますか?