設定が済んだので動作確認をしてみます。WiFiルータやスマホのデザリングなど別ネットワーク上からForitegateのWANでアクセスします。今回うちのFortiはDDNSで名前をとってるので、以下のURLになります。
https://kokoro-nfe.fortiddns.com
ログイン時にワンタイムパスワードを聞かれます。vpn-user03はスマホOTPを設定したユーザアカウントなので、スマホアプリに表示されている6桁の数字入力。
ログインしたら、右下にVPNクライアントのDLリンクがあるので、DLしてインストールします。
一度ログアウト。VPNクライアントからトンネルモードでVPNを張ります。
設定画面はこんな感じ。
オレオレ証明書を強行して
ワンタイムパスワードを入力する
お疲れ様でした。これでVPN接続ができたかと思います。
■TIPS、まとめ
・Emailでワンタイムパスワードが発行されない
→迷惑メールフォルダ、送信済みメールフォルダに入っていないか。入ってなければSMTP設定を疑う。
・たまに「Unable to establish the VPN connection」エラーで接続できず。PCを再起動すると解消する
・2要素認証のEmailは有効にするにはコマンド入力が必要
・Tokenはライセンスが必要。Emailならライセンス不要
・不用意にポリシーにAV、WEBフィルタをアサインするのは危険。ライセンス切れだと
全部ブロックになるし、VPNが繋がらなくなる可能性有り。バグ?
・一度TokenでOTPを設定したユーザをemailに変更に再度token設定にする。
スマホには該当IDのtokenが残っているが、OTP認証を行うとaccess deniedになり再起動してもNG
FortiToken設定画面で該当ユーザのTokenシリアルをすげ替えることで解消する
—————————————————–
本連載のシリーズ
【Fortigate】SSL-VPN経由で社外から業務サイトに安全にアクセスする
【Fortigateで2要素認証、SSL-VPN編】 設定編1 下準備
【Fortigateで2要素認証、SSL-VPN編】 設定編2 ウィザードでざっくり設定
【Fortigateで2要素認証、SSL-VPN編】設定編3 SSLポータル、SMTP設定
【Fortigateで2要素認証、SSL-VPN編】 設定編4 ポリシー、ユーザ
【Fortigateで2要素認証、SSL-VPN編】 動作確認