笞熊降猫|蛋糕面包熊猫店

Fortigate 是美国飞塔公司的一系列防火墙产品，其功能非常强大。从低端到高端的一些列产品拥有了相同的OS。一只防火墙提供了基本的路由、防火墙、防病毒等众多功能。其中包括了 SSL-VPN 功能。

关于什么是 SSL-VPN 本文无力做详细解释。

本文仅提供一个建设流程，并无详细的网络原理解释。

本文与 Linux 无关，仅为Fortigate 与 Linux VPN 实现 VPN 隧道在做技术准备。

一、假设的网络环境

Lan：172.16.0.0/255.255.0.0
Wan：192.168.0.0/255.255.0.0

防火墙 Wan 口地址 192.168.9.59
防火墙 Lan 口地址 172.16.1.99

防火墙工作在 NAT 模式下。

二、在防火墙-地址中添加地址段划分

打开防火墙-地址

添加一个地址段

地址名称可以随便写，地址段即为你希望VPN用户使用的IP段。

需要注意的是“接口”，由于逻辑上 VPN 用户都从外网拨入，所以接口要写 Wan 网接口。

为我们正在使用的内网段添加一个地址段：

三、配置 LDAP 服务器

通过配置 LDAP 服务器可以与域结合，共享用户信息。

点击 设置用户-LDAP-新建

名称：随便写。服务器IP：写上内网 DC IP地址。服务端口：389，默认不用修改。普通名称标识符：cn，默认不用修改。

著名名称：这里举例一下。比如域 linuxblog.cn 其中有OU：Test。那么这里写：

OU=Test,DC=linuxblog,DC=cn

请注意！这里查询若出错是很正常的。（至少我是这样。）

四、设定用户组

设置用户-用户组-新建

类别中选择 SSL VPN ，表明在使用 SSL VPN 时读取该用户组里面的用户。
可用成员中，将刚才设置的 LDAP 成员选入进去。

SSL VPN 用户组选项中：选中：1.启动SSL VPN 通道服务。2.允许通道分割。

五、设定防火墙策略

防火墙-策略

编辑此处的的目的是，打通外网-内网直接的数据通讯。

首先打通 Wan-Lan 的数据通道。

源：Wan
地址：VPN

目的：Lan
地址：Subnet
模式：SSL-VPN

可用组：将我们设定的域用户组加入。

再来一个 Lan-Wan 的通道。

接着还要让外网进入内网的一般数据包都可以流入（Lan-Wan通行默认已经有了。）

六、开启 SSL VPN

进入虚拟专用网-SSL

在启动SSL-VPN，前打上勾。

通道IP范围：为VPN拨入后获得到的地址范围。