远程办公利器：手把手教你搭建FortiGate SSL-VPN安全隧道

通过前面的测试（FortiOS和FortiGate除了在功能上的细微差异，性能差别大吗？），我们发现FortiOS还是存在一些小问题，所以我们还是老老实实地使用FortiGate吧。
正好我们也在公有云部署好了FortiGate（手把手教你在天翼云部署一台FortiGate云主机），接下来，我们来简单测试一下FortiGate如何配置SSL VPN。本文仅用于企业内网安全接入技术研究，所有操作需在合法授权范围内进行，请遵守中国网络安全相关法律法规。
和H3C配置SSL VPN类似（实测确认！MSR810路由器自带SSL VPN授权，免费搭建远程接入就这么简单），远程用户需要使用飞塔指定客户端FortiClient来建立SSL安全隧道，进而通过SSL安全隧道访问内部网络。
实验拓扑图如下所示：

首先，我们需要确认FortiGate设备的WAN接口和LAN接口，配置入口在“网络”下的“接口”中，选中接口后，点击列表上方的“编辑”即可。

WAN接口一般是连接到ISP的接口，SSL VPN连接一般也是通过WAN接口建立的，本例中我们使用port1，地址配置为172.16.0.4/24；LAN接口一般是接入内网资源的接口，本例中我们使用port2和port3，地址分别配置为172.16.1.3/24和172.16.2.3/24。

然后配置SSL VPN用户和用户组。进入“用户与认证”下的“用户组”，点击“新建”增加一个本地用户组。

指定名称，类型使用默认的“防火墙”。

进入“用户与认证”下的“设置用户”，点击“新建”增加一个本地用户。

“用户类型”选择“本地用户”。

指定用户名为fortivpn，并设置密码。

支持对用户配置双因子认证，认证类型支持FortiToken云和FortiToken，暂时还用不了，使用默认的不启用双因子认证就好了。

用户账户状态保持“启用”，将用户加入到刚刚创建的用户组，点击“提交”，完成创建。

接下来进入到“VPN”下的“SSL-VPN门户”，选中默认的门户full-access，点击“编辑”来调整SSL VPN门户配置。

SSL-VPN门户配置页面，我们将隧道分割调整为“禁用”，使所有客户端流量都经过SSL-VPN隧道进行转发，源IP池保持使用SSL VPN隧道地址池。

还有一些其他配置，我们暂时保持默认即可。

然后进入到“VPN”下面的“SSL-VPN设置”，指定监听接口为WAN接口port1，将监听端口修改为可用端口（注意：公有云上的端口使用存在限制，像80、443、8080、8443等这些端口都需要备案才能使用）；服务器证书按照提示使用Let’s Encrypt生成一个新证书并使用，不推荐使用默认的内置证书Fortinet_Factory，可能导致客户端报证书信任错误，容易出现连接错误；关闭“需要客户端证书”。

地址范围我们使用默认的“自动分配地址”；在“认证/门户映射”中，将全部其他用户/组的门户设置为修改后的full-access，同时新建一个映射，将用户组SSL VPN也映射到full-access门户。

然后在“策略&对象”下的“防火墙策略”中，配置防火墙策略以允许SSL远程用户访问内部网络。先忽略之前允许所有的策略，点击“新建”。

将名称设置为SSL VPN，将流入接口设置为SSL-VPN隧道接口（SSL.root），将流出接口设置为内网口port2，将源地址设置为all，将用户设置为SSL VPN（地址和用户需要同时设置），将目标地址设置为内网地址172.16.0.0/16，计划任务设置为always，服务设置为ALL，动作保持默认的接受。

检查其他配置是否需要调整，点击“确认”完成新建。

为了使远程接入用户可以访问互联网，需要再创建一条流出接口为WAN接口的策略，其他配置与上一个策略完全相同。（也可以使用策略复制功能）

防火墙策略如下所示。

最后就是使用客户端连接SSL安全隧道了，首先请前往Fortinet官方网站下载FortiClient客户端。选择对应的操作系统，比如我选择Windows系统。

不能自定义安装位置还是很讨厌的。安装完成之后，打开FortiClient VPN控制台，第一次使用需要同意用户协议。

进入控制台之后，点击“配置VPN”。

进入到新加VPN连接页面，VPN类型选择默认的SSL-VPN，将远程网关设置为FortiGate监听接口的网关地址（hb.h3cadmin.cn），勾选“自定义端口”，并将其设置为9999，然后点击“保存”；设置保存登录名，并填入用户名。

回到连接页面，使用设置的用户名和密码来连接SSL VPN隧道。

连接成功之后，可以看到连接的状态信息，包括连接名称、分配的IP地址、用户名、连接时长和收发字节数信息。

连接成功后，会和其他VPN产品一样，下发一条到VPN网关的默认路由，除明细路由外的所有流量都将转发到SSL VPN隧道，可能会导致访问网络失败的情况。

因为我们配置策略的时候，只允许到port2和port1的访问，所以这两个接口的地址是能通的，而port3的接口地址是不通的。

在FortiGate的仪表盘监控中，在网络下面找到SSL-VPN，可以查看在线用户情况。

正常来讲，在VPN下面的VPN地图页面，也是可以查看SSL VPN用户列表的，但是现在却定时无法从服务器加载VPN地图，不知道是哪里的服务器。

刷新之后，可以看到SSL-VPN的数字显示为1，但是依然没有细节展示。

有谁知道这个是不是正常现象吗？