【Fortigateで2要素認証、SSL-VPN編】動作確認

　
設定が済んだので動作確認をしてみます。WiFiルータやスマホのデザリングなど別ネットワーク上からForitegateのWANでアクセスします。今回うちのFortiはDDNSで名前をとってるので、以下のURLになります。
　
https://kokoro-nfe.fortiddns.com
　
ログイン時にワンタイムパスワードを聞かれます。vpn-user03はスマホOTPを設定したユーザアカウントなので、スマホアプリに表示されている6桁の数字入力。

　

ログインしたら、右下にVPNクライアントのDLリンクがあるので、DLしてインストールします。

一度ログアウト。VPNクライアントからトンネルモードでVPNを張ります。
　

　
設定画面はこんな感じ。

　
オレオレ証明書を強行して

　
ワンタイムパスワードを入力する

　
　
お疲れ様でした。これでVPN接続ができたかと思います。
　
　
　
■TIPS、まとめ
・Emailでワンタイムパスワードが発行されない
　→迷惑メールフォルダ、送信済みメールフォルダに入っていないか。入ってなければSMTP設定を疑う。
・たまに「Unable to establish the VPN connection」エラーで接続できず。PCを再起動すると解消する
・2要素認証のEmailは有効にするにはコマンド入力が必要
・Tokenはライセンスが必要。Emailならライセンス不要
・不用意にポリシーにAV、WEBフィルタをアサインするのは危険。ライセンス切れだと
　全部ブロックになるし、VPNが繋がらなくなる可能性有り。バグ？
・一度TokenでOTPを設定したユーザをemailに変更に再度token設定にする。
スマホには該当IDのtokenが残っているが、OTP認証を行うとaccess deniedになり再起動してもNG
FortiToken設定画面で該当ユーザのTokenシリアルをすげ替えることで解消する
　
　