SSL-VPNの設定です。
■VPN→SSL→ポータル
・全トラフィックをトンネルに通す≒PCのデフォルトルートをForiteに向けるので
スプリットトンネリングはチェックを外す
・送信元IPプールはプリセットのSSLVPN_TUNNEL_ADDR1
・定義済みブックマークで色々設定すると、面白い。けどこの機能、
ActiveXがブラウザで禁止されてることが多いから要注意。
■VPN→SSL→設定
・Listen インターフェイスはwanを指定。
・DNSはFortiが公開している安全DNSを指定しましょう。最近の攻撃のトレンドでクライアントのDNSサーバを
まず書き換えて偽サイトに誘導するというものがあります。安全なDNSを使うことは必要です。
というのは建前だったり・・
公衆WiFiや通信キャリアのDNSは網外からアクセスできない事がありまして、
VPNを繋ぐとキャリアDNSへのアクセスは網外からアクセスすることになり、
DNSでアクセスができなくなってしまったんですね。なのでここは指定するのが無難。
■メールサーバ
2要素認証を使うためにSMTP設定が必須です。プロバイダのアカウントを使うもよし、ネットワーク内のメールサーバでもいいしGmailでもいいでしょう。Gmailの場合は、安全性の低いアプリうんぬんのチェックを忘れずに。
参考 gmailをメーラー以外から送信する方法
プリンタ、スキャナ、アプリケーションからメールを送信するための G Suite の SMTP 設定
安全性の低いアプリがアカウントにアクセスするのを許可する
管理者ログイン/ログアウトにチェックでメールがちゃんと配信できるか確認します。2要素認証の要になりますので、ここがうまく動かないとTHE END。
次に続く
—————————————————–
本連載のシリーズ
【Fortigate】SSL-VPN経由で社外から業務サイトに安全にアクセスする
【Fortigateで2要素認証、SSL-VPN編】 設定編1 下準備
【Fortigateで2要素認証、SSL-VPN編】 設定編2 ウィザードでざっくり設定
【Fortigateで2要素認証、SSL-VPN編】設定編3 SSLポータル、SMTP設定
【Fortigateで2要素認証、SSL-VPN編】 設定編4 ポリシー、ユーザ
【Fortigateで2要素認証、SSL-VPN編】 動作確認