Hej alla,
Jag kommer från Palo Alto Networks och vi byter till FortiGate. I vår PAN använder vi vpn.mycompany.com som Gateway i GlobalProtect, PAN Client VPN. Vi har ett GoDaddy-certifikat som vi använder för detta.
Jag konfigurerade SSL VPN i Fortinet (ganska enkelt) med standardcertifikatet för att testa det. Däremot är jag osäker på vad som behöver göras från certifikatsynpunkt för att använda vpn.mycompany.com. I PAN konfigurerar du portal/gateway för att peka på URL:en.
Kan någon förklara för mig vad processen är för att göra detta med FortiGate? Dessutom har jag två ISP, och det räcker att lägga till porten i SSL VPN-konfigurationen! Jag vill att min URL ska peka på båda ISP:erna för redundans, vet inte om detta ens är möjligt.
Jag såg att det finns en Forti DDNS-tjänst där jag kan koppla mina två ISP:er. Det verkar som att jag kan använda detta för FortiClient VPN-redundans.. kan någon bekräfta detta? Finns det ett sätt att använda fortiDDNS med min URL?
Tack på förhand,
System > Feature Visibility aktiverar du Certifikat, importerar Certifikatet där, sedan visas det som ett val i VPN > SSLVPN-inställningar. Ganska enkelt
Finns det ett sätt att använda fortiDDNS med min URL?
Inte med din URL. Med FortiDDNS skapas en post på FortiNet-servrarna, dvs vpn.fortiddns.com.
FortiGate SSL-VPN-servern bryr sig inte om vilket hostnamn du använder för att komma åt den (*). Det kan vara vilken slumpmässig DNS-post som helst som pekar på IP-adressen för gränssnittet med SSL-VPN aktiverat, det kan vara en manuell hosts-filpost på din PC, det kan vara IP-adressen för gränssnittet själv, eller tekniskt vilken slumpmässig IP som helst så länge du DNAT:ar det korrekt och dirigerar det hela vägen till FortiGate.
Standardcertifikatet kan inte ändras och är bara en platshållare, och VPN-slutpunkterna kommer aldrig att kunna lita på det ordentligt. Du bör sluta använda det så snart du är klar med din grundläggande POC.
Köp/anskaffa ett certifikat utfärdat för alla hostnamn (och eventuellt IP-adresser) som ska användas för att komma åt din SSL-VPN, och använd det. Du kan köpa ett från en offentlig certifikatutfärdare, eller få ett utfärdat av din interna CA om dina VPN-användarenheter litar på den CA:n. Let’s Encrypt är också okej, men det är integrerat endast sedan 7.0.0 med HTTP-utmaning. På äldre versioner måste du hantera förfrågan/import/förnyelse av Let’s Encrypt-certifikatet själv.
*: det enda undantaget är när du använder “virtuell-värd”-funktionen för att styra användare till deras SSL-VPN-område baserat på vilket hostnamn de använde. Men jag antar att detta inte är relevant för dig i detta skede.
u/nostalia-nse7 Ja, jag såg det. Jag antar att jag bara pekar mitt certifikat till de nya publika IP:erna från GoDaddy, laddar ner det och importerar det som du nämnde.