Hej allihopa,
Jag kommer från Palo Alto Networks och vi migrerar till FortiGate. I vår PAN använder vi vpn.mycompany.com som gateway i GlobalProtect, PAN Client VPN. Vi har ett GoDaddy-certifikat som vi använder för detta.
Jag konfigurerade SSL VPN i Fortinet (rätt enkelt) med standardcertifikatet för att testa det. Men jag är osäker på vad som behöver göras från certifikatperspektivet för att använda vpn.mycompany.com. I PAN konfigurerar du portalen/gatewayen för att peka på URL:en.
Kan någon förklara för mig vilken processen är för att göra detta med FortiGate? Dessutom har jag två ISP, och att bara lägga till porten i SSL VPN-konfigurationen fungerar! Jag vill att min URL ska peka på båda ISP:erna för redundans, är det ens möjligt?
Jag såg att det finns en Forti DDNS-tjänst där jag kan koppla mina två ISP. Det verkar som att jag kan använda denna för redundans med FortiClient VPN.. kan någon bekräfta detta? Finns det ett sätt att använda fortiDDNS med min URL?
Tack på förhand,
System > Feature Visibility, du aktiverar Certifikat, importerar Certifikatet där, och det visas som ett val i VPN > SSLVPN Inställningar. Ganska enkelt
Finns det ett sätt att använda fortiDDNS med min URL?
Inte med din URL. Med FortiDDNS skapas en post på FortiNets servrar, dvs vpn.fortiddns.com.
FortiGate SSL-VPN-servern bryr sig inte om vilket värdnamn du använder för att komma åt den (*). Det kan vara vilken slumpmässig DNS-post som helst som pekar till IP-adressen för det gränssnitt som har SSL-VPN aktiverat, det kan vara en manuell hosts-fil post på din PC, det kan vara IP-adressen för själva gränssnittet, eller tekniskt vilken slumpmässig IP som helst så länge du DNAT:ar den korrekt och dirigerar den hela vägen till FortiGate.
Standardcertifikatet kan inte ändras och är endast en platshållare, och VPN-slutpunkterna kan aldrig lita fullt ut på det. Du bör sluta använda det så snart du är klar med din grundläggande POC.
Skapa/köp ett certifikat utfärdat för alla hostnamn (och eventuellt IP-adresser) som ska användas för att komma åt din SSL-VPN, och använd det. Du kan köpa ett från en offentlig certifikatutfärdare, eller få ett utfärdat av din interna CA om dina VPN-användare litar på den CA. Let’s Encrypt fungerar också, men är integrerat först med HTTP-utmaning från version 7.0.0. I äldre versioner måste du hantera begäran/import/förnyelse av Let’s Encrypt-certifikatet själv.
*: det enda undantaget är när du använder “virtuell-värd”-funktionen för att styra användare till deras SSL-VPN-område baserat på vilket värdnamn de använde. Men jag gissar att detta inte är relevant för dig just nu.
u/nostalia-nse7 Ja, jag såg det. Jag antar att jag bara pekar min certifikat i GoDaddy:s nya offentliga IP:ar, laddar ner det och importerar det som du nämnde.
Perfekt förklaring.
Dessutom kan du använda ett wildcard-certifikat och även använda det för WAF och administratörssidor.
Om du kör FortiOS 7, har jag läst att du också kan använda certifikat baserade på ACME (tänk Let’s Encrypt) och få dem att förnya automatiskt!
Tack u/pabechan. Vi har GoDaddy-certifikat i Palo Alto-brandväggen just nu. Måste jag skapa en CSR som jag gör med PAN och sedan signera det hos GoDaddy, eller räcker det att importera PAN-certifikatet? Jag tror att det är det senare, men vill vara säker.
Det är bra, bra att veta. Jag ska kolla på det senare!