Fortigate настройка двух провайдеров

Обновлено: 07.07.2024

Обзор решения FortiGate 100E (unboxing), его подключение и первичная настройка.


В предыдущей статье мы рассмотрели линейку FortiGate и как с помощью этих решений не допустить потерю важной информации. Теперь мы обсудим подключение и первоначальные настройки конкретного решения, а именно FortiGate 100E.

В рамках этой статьи мы рассмотрим пример с автономным подключением от сети предприятия, где FortiGate будет являться межсетевым экраном и шлюзом для управляющего им хоста. Хотим обратить ваше внимание, что этот случай ничем не отличается от подключения FortiGate на периметре сети. Однако сейчас мы делаем это автономно, чтобы случайно «не положить» сеть предприятия

Для подключения нам понадобится стандартный ethernet провод. Один коннектор мы подключаем к Managment (mgmt)порту FortiGate, а другой — к разъему нашего хоста. На лицевой стороне устройства можно найти наклейку с данными, необходимыми для входа в web-интерфейс. Обычно это адрес 192.168.1.99, логин — admin и пустое поле пароля. Переходим по указанному адресу, должно появиться окно входа (см. рис. 1).


Рисунок 1. Окно входа

Вводим указанные на наклейке данные и нажимаем Login. Сразу после входа всплывает окно, предлагающее задать пароль. Советуем сделать это сразу для укрепления безопасности устройства.


Обзор панели управления

После того, как мы проделали изложенные выше пункты, мы попадаем на главную панель (см. рис. 2,3 и 4).


Рисунок 2. Панель управления


Рисунок 3. Панель управления


Рисунок 4. Панель управления

На главной панели содержится основная информация об устройстве. Виджеты главной панели можно добавлять, удалять, перемещать, менять размер. Это позволяет держать на виду самую необходимую пользователю информацию в удобном для него виде. По умолчанию на ней уже установлен следующий перечень виджетов:

• Системная информация - содержит имя устройства, его серийный номер и версию прошивки, режим работы, текущую дату и время, время работы, а также IP адрес, через который осуществляется доступ в Интернет;
• Лицензии — список активных и неактивных лицензий;
• FortiCloud - показывает статус интеграции с сервисом FortiCloud (облачный сервис Fortinet, предоставляющий дополнительные возможности по управлению FortiGate);
• Security Fabric - показывает список устройств, интегрированных с фабрикой безопасности Fortinet и их статус;
• Administrators - показывает текущие администраторские сессии;
• CPU - показывает график загрузки по времени центрального процессора FortiGate;
• Memory - показывает график загрузки по времени оперативной памяти FortiGate;
• Sesions - показывает график числа сессий по времени.


Разбираемся с прошивкой

Как определить или обновить текущую версию прошивки? Для этого зайдем в меню Systems — Firmware. Версия прошивки указана в строке Current version (см. рис. 5). Этот раздел меню также позволяет пользователю проверить наличие обновления прошивки, сохранить текущую конфигурацию при обновлении прошивки, а также загрузить уже имеющуюся конфигурацию. Это помогает при непредвиденных сбоях, неправильных настройках и в ряде других случаев.


Рисунок 5. Версия прошивки FortiOS v5.6.5 build1600(GA) и возможность обновить на версию 6.0.2.

Рекомендуется периодически проверять наличие обновлений и при наличии новой прошивки обновлять устройство. Однако некоторые обновления могут существенно изменить определенный функционал, из-за которого часть ваших настроек может стать недоступной. Поэтому перед обновлением необходимо ознакомиться с документом Release Notes соответствующей версии (например, 6.0.3) и убедиться, что обновление не «заденет» вашу текущую конфигурацию.


Учетные записи администраторов

Теперь рассмотрим создание отдельных учетных записей администраторов. Это необходимо для более точного разделения обязанностей и контроля действий каждого администратора.

Для этого зайдем в меню System-Administrators. В данном окне будут показаны действующие учетные записи администраторов. На данный момент в списке один аккаунт, определенный по умолчанию (см. рис. 6).


Рисунок 6 Окно System-Administrators

Для создания новой учетной записи администратора нажимаем на Create New и выбираем Administrator.


Рисунок 7. Окно System-Administrators

В данном окне присутствуют стандартные поля для создания учетной записи, а также несколько дополнительных функций. О них мы расскажем поподробнее:

• Type - выбираем способ хранения учетной записи. В данном случае можно выбрать локальную базу данных устройства, удаленные сервера, а также можно использовать инфраструктуру открытых ключей;
• Comments - здесь можно приписать комментарий к аккаунту, который может содержать любой текст на ваше усмотрение (предназначение, кто владеет и т.д.). На работу данного аккаунта это не влияет, функция предназначена исключительно для вашего удобства.
• Administrator Profile — данное меню позволяет выбрать профиль администратора.

  • –Super_admin - имеет полный доступ ко всем параметрам устройства;
  • –Prof_admin - имеет полный доступ к параметрам определенного VDOMа (Технология VDOM не рассматривается в данной статье);
  • –Также можно выбрать кастомный профиль, процесс его создания мы рассмотрим позже;
  • –Email - позволяет указать email адрес администратора для различных оповещений.

Также ниже расположены поля, позволяющие активировать дополнительные функции, такие как: оповещения по SMS, двухфакторная аутентификация, возможность входа только с доверенных хостов, ограничение администрирования до контроля определенных гостевых групп пользователей.


Рисунок 8. Окно System-Admin Profiles

Чтобы создать кастомный профиль администратора (не путать с аккаунтом/учетной записью, профиль применяется на каждую учетную запись как надстройка) необходимо перейти в меню System-Admin Profiles. В появившемся окне надо задать название профиля, комментарий к нему (не обязательно), а также выбрать разрешения, которые вам нужны для данного профиля (см. рис. 8). Функция Override Idle Timeout позволяет переопределить значение таймаута, заданного по умолчанию.

Подключение по ssh уже настроено по умолчанию. Необходима лишь учетная запись, которую мы создали в предыдущем разделе. Настройки административного доступа находятся в меню System-Settings. Однако в данных настройках можно лишь переопределить номера портов. Появляется логичный вопрос: как разрешить или запретить доступ по определенному протоколу управления?

Для этого перейдем в меню Network-Interfaces (см. рис. 9). Видим, что у нас активен mgmt порт, через который мы выполняем конфигурацию. Предположим, что подключаться с помощью различных протоколов управления мы будем к этому порту. Заходим в его настройки двойным щелчком ПКМ.


Рисунок 9. Окно Network-Interfaces


Рисунок 10. Окно Network-Interfaces


Подключение к интернету

Теперь обеспечим управляющему хосту доступ в интернет. Стоит заметить, что процедура подключения сети к интернету через FortiGate абсолютно аналогична, отличие лишь в том, что в данном случае мы подключаемся к промежуточному устройству (например, к коммутатору), а в случае установки FortiGate на периметре сети подключение осуществляется к устройству провайдера.

Для этого нам необходим еще один провод, который с одной стороны мы подключим к коммутатору, а с другой в wan порт FortiGate(например в WAN1). Заходим в настройки WAN1 интерфейса (аналогично с mgmt интерфейсом). Обычно провайдер распределяет IP адреса с помощью DHCP протокола, поэтому в поле Address в строке Addressing mode меняем настройку с Manual на DHCP. Нажимаем ОК. Вернувшись в меню выбора интерфейса и обновив страницу, видим, что интерфейс автоматически получил IP адрес (см. рис. 11 и 12).


Рисунок 11. Окно Network-Interfaces



Рисунок 12. Окно Network-Interfaces

Теперь, настроим LAN. Это позволит подключить к интернету другие хосты через порты LAN. Таким образом настраивается подключение хостов, а также других маршрутизаторов или коммутаторов в том случае, если FortiGate находится на периметре сети.

В поле Address в строке Addressing Mode выбираем тип Manual(ручной ввод) и вводим адрес шлюза данной локальной сети и маску подсети.

Включаем DHCP сервер и назначаем Address Range — диапазон IP адресов, которые будут выдаваться хостам при подключении к данному интерфейсу (см. рис. 13).

Рисунок 13. Окно Network-Interfaces – необходимые настройки

Проверим: подключим хост не к mgmt порту, а, например, в port1 LAN интерфейса. Интернет подключение активно, однако весь его функционал недоступен. В чем причина?

А причина в политиках безопасности. По умолчанию в FG установлена политика deny any any, которая запрещает доступ в интернет.

В нашей следующей статье мы подробно рассмотрим политики безопасности, объясним, почему доступ к Интернету отсутствует и, конечно же, обеспечим доступ к нему.

1 Подключение межсетевого экрана Fortigate к двум интернет провайдерам для обеспечения отказоустойчивого подключения к Интернет Задача Подключить резервное Интернет соединение к устройству FortiGate, таким образом чтобы в момент выхода из строя основного Интернет подключения, часть либо весь трафик автоматически переключается на резервное Интернет подключение. Как только основное Интернет подключение восстановлено, трафик автоматически должен переключиться на основной канал. Решение Видео: Ниже описана процедура настройки отказоустойчивого подключения с использованием двух интернет каналов. В решении основной канал подключен к интерфейсу wan1 устройства с использованием статического IP адреса. Резервный канал подключен в интерфейсу wan2, IP адрес которого назначается по протоколу DHCP. Для того чтобы разрешить прохождение трафика из сети internal через интерфейс wan1, необходимо создать политику безопасности. Также необходимо создать дополнительную политику безопасности для прохождения трафика из сети internal через интерфейс wan2. Примечание: можно значительно сократить объемы трафика по резервирующему wan2 интерфейсу используя ограничение полосы пропускания и веб-фильтрацию FortiGuard для не приоритетных веб- сайтов. Также можно использовать функцию контроля приложений для установки ограничений использования резервного интерфейса.

2 Настройка основного Интернет подключения (интерфейс wan1). 1. Подключите интерфейс wan1 устройства к оборудованию основного интернет провайдера. Подключите внутреннюю сеть к интерфейсу internal. 2. Используя ПК из внутренней сети подключитесь к веб интерфейсу устройства (IP адрес по умолчанию ) используя логин admin без пароля. 3. Зайдите в меню System->Network->Interface->Edit, выберите интерфейс wan1 и измените следующие настройки: Addressing mode Manual IP/Netmask / Зайдите в меню System->Network->Interface->Edit, выберите интерфейс internal и измените следующие настройки: Addressing mode Manual IP/Netmask /

3 5. Зайдите в меню Router->Static->Static Route, выберите Create New и добаввьте маршрут по умолчанию: Destination IP/Mask / Device wan1 IP/Netmask Зайдите в меню System->Network->DNS, добавьте DNS сервера в полях Primary и Secondary. 7. Для того чтобы добавить политику безопасности, которая разрешает пользователям внутренней сети получать доступ к сети Интернет через интерфейс wan1, зайдите в меню Policy->Policy, выберите пункт Create New->Policy Примечание: в некоторых моделях FortiGate данная политика присутствует в заводской конфигурации. Если политика присутствует, пропустите этот пункт Source interface/zone Source address Internal All Destination Interface/Zone wan1 Destination Address Schedule Service Action All always ANY ACCEPT 8. Включите Enable NAT и Use Destination Interface Address 9. Для сохранения настроек нажмите кнопку OK Настройка резервного Интернет подключения через интерфейс wan2 1. Подключите интерфейс wan2 устройства к оборудованию резервного интернет провайдера.

4 2. Подключитесь к веб-интерфейсу устройства. 3. Зайдите в меню System -> Network -> Interface->Edit, выберите интерфейс wan2. 4. Установите параметр Addressing Mode->DHCP и выберите параметр Retrieve Default Gateway. Отключите параметр Override Internal DNS. 5. Для сохранения настроек нажмите кнопку OK Если физическое подключение сделано правильно, на интерфейс wan2 должен быть назначен IP адрес от DHCP сервера. Данная операция может занять несколько минут. Для проверки состояния воспользуйтесь ссылкой Status. Полученный адрес должен появиться в статусной строке Obtained IP/Netmask. Если DHCP сервер передает адреса DNS серверов, они также должны появиться в статусной строке. Внимание!: убедитесь что параметр Retrieve Default Gateway from server активирован и маршрут по умолчанию появился в таблице маршрутизации. Обычно в резервируемых конфигурациях должен быть включен параметр Override Internal DNS, поскольку нет необходимости использовать DNS сервера резервного интернет провайдера 6. Для того чтобы добавить политику безопасности, которая разрешает пользователям внутренней сети получить доступ к сети Интернет через интерфейс wan2, зайдите в меню Policy->Policy, выберите пункт Create New->Policy Source interface/zone Source address Destination Internal All wan2

5 Interface/Zone Destination Address Schedule Service Action All always ANY ACCEPT 7. Включите Enable NAT и Use Destination Interface Address. 8. Для сохранения настроек нажмите кнопку OK Настройка шлюза по умолчанию через интерфейс wan1 как приоритетный маршрут, а также настройка ping серверов для интерфейсов wan1 и wan2 На устройстве FortiGate должны быть настроены два маршрута по умолчанию, один направляет трафик через интерфейс wan1, второй, через интерфейс wan2. Примечание: поскольку маршрут по умолчанию для интерфейса wan2 устройство получает от интернет провайдера по протоколу DHCP, необходимо отредактировать интерфейс wan2 и изменить дистанцию для маршрута. 1. Зайдите в меню Router->Static->Static Route. Отредактируйте(Edit) маршрут по умолчанию для интерфейса wan1, выберите пункт Advanced и установите значение параметра Distance в Зайдите в меню System->Network->Interface. Отредактируйте интерфейс wlan2 и установите параметр Distance в 20 (либо любое другое значение больше 10). 3. Используйте функции мониторинга меню Router->Monitor->Routing Monitor для проверки какой маршрут по умолчанию используется. Неиспользуемые маршруты не появляются в таблице маршрутизации. В примере ниже виден только статический маршрут(дистанция 10) через интерфейс wan1. Примечание: если установить на интерфейсе wan2 меньшую дистанцию (например 5), шлюз по умолчанию интерфейса wan1 будет удален, а в списке появится шлюз по умолчанию интерфейса wan2. Также можно использовать одинаковую дистанцию для обоих маршрутов по умолчанию(например 10). В таком случае будут использоваться оба маршрута по алгоритму маршрутизации множественных путей(ecmp). Активные сессии будут балансироваться по обоим интерфейсам. 4. Зайдите в меню Router->Static->Settings->Create New, добавьте ping сервер для интерфейса wan1:

6 Interface wan1 Ping Server Detect Protocol Ping interval(seconds) ICMP Ping 5 Failover thershold 5 5. Выберите Create New и добавьте ping сервер для интерфейса wan2. Interface Результаты wan2 Ping Server Detect Protocol Ping interval(seconds) ICMP Ping 5 Failover thershold 5 Если IP адрес ping сервера wan1 доступен, то в мониторе маршрутов будет доступен маршрут по умолчанию интерфейса wan1. Весь трафик маршрутизируется в Интернет через интерфейс wan1. Для проверки можно использовать монитор маршрутов либо с помощью счетчика Count политик internal->wan1 и internal->wan2 в меню Policy->Policy. Счетчик политики internal->wan1 должен расти. Счетчик политики internal->wan2 не будет изменяться. Если ping сервер wan1 перестал быть доступным, (это можно проверить физически отключив кабель из интерфейса wan1), маршрут по умолчанию должен измениться на интерфейс wan2: Данное событие должно быть отображено в отчете событий: :16:39 log_id= type=event subtype=system pri=critical vd=root interface="wan1" status=down msg="ping peer: ( > ping down)" Попробуйте подключиться к какому либо Интернет ресурсу, в тот момент когда соединение wan2 активно. Если вы можете подключиться, это является

7 подтверждением того что устройство настроено правильно. Проверьте счетчик политики безопасности internal->wan2. Значения счетчика должны возрастать. Восстановите wan1 соединение. Ping сервер должен определить, что основное Интернет соединение восстановлено и изменит маршрут по умолчанию на wan1. Все новые сессии будут маршрутизироваться через это соединение. Текущие сессии, пока не будут завершены, продолжат работать через интерфейс wan2. Примечание: во время переключения на резервное соединение, входящие сессии полученные VIP политикой безопасности с интерфейса wan1 до переключения будут быть пересланы через интерфейс wan2 после переключения. Исходящие сессии инициированные сервером через VIP политику безопасности будут иметь исходящий IP адрес того интерфейса, который на данный момент является активным. Включение ECMP на резервном Интернет соединении Сценарий описанный выше должен успешно работать для большинства сетей. Однако во избежание ложных срабатываний переключения (например в моменты кратковременных обрывов связи) рекомендуется активировать алгоритм ECMP. Для реализации ECMP конфигурации необходимо настроить одинаковую дистанцию на обоих соединениях и указать приоритет маршрутов. Маршрут который имеет приоритет ниже является лучшим. Измените конфигурацию следующим образом: 1. Зайдите в меню Router->Static->Static Route, выберите Edit для маршрута wan1. 2. Выберите пункт Advanced и установите параметры Distance в 10, Priority в Используя интерфейс командной строки(cli) измените дистанцию и приоритет для интерфейса wan2: config system interface edit wan2 set distance 10 set priority 20 end Имея самый низкий приоритет интерфейс wan1 определяется как основной нмаршрут и весь трафик из приватной сети маршрутизируется через интерфейс wan1. Примечание: если в маршрутах wan1 и wan2 настроены разные дистанции, ответы на входящий Интернет трафик может присылать только интерфейс с меньшей дистанцией(wan1). Если входящее соединение установлено через интерфейс wan1, оно будет разорвано в момент отказа. После кратковременного прерывания соединение будет автоматически восстановлено через интерфейс wan2. Соединение будет разорвано второй раз, как только wan1 соединение будет восстановлено, поскольку после переключения на основной канал прохождение трафика через интерфейс wan2 будет невозможно. Если алгоритм ECMP активирован, оба интерфейса будут всегда активны. Соединение будет разорвано если произошел сбой соединения wan1, но после восстановления

8 работоспособности будет продолжать работать через интерфейс wan2. Таким образом разрыв соединения произойдет только один раз.

С помощью этого учебника по развертыванию вы узнаете, как настроить и использовать брандмауэр следующего поколения Fortinet FortiGate, развернутый в виртуальной машине Azure. Кроме того, здесь рассматривается настройка приложения коллекции FortiGate SSL VPN Azure AD для обеспечения проверки подлинности VPN с помощью Azure Active Directory.

Активация лицензии FortiGate

Брандмауэр следующего поколения Fortinet FortiGate доступен в виде виртуальной машины в инфраструктуре как услуге (IaaS) Azure. Для этой виртуальной машины существует два режима лицензирования: с оплатой по мере использования и с использованием собственной лицензии (BYOL).

Скачивание встроенного ПО

На момент написания статьи виртуальная машина Azure Fortinet FortiGate не поставляется с версией встроенного ПО, необходимой для проверки подлинности SAML. Последняя версия должна быть получена из Fortinet.

Развертывание FortiGate VM

Перейдите на портал Azure и войдите в подписку, в которой будет развернута виртуальная машина FortiGate.

Создайте или откройте группу ресурсов, в которой вы хотите развернуть виртуальную машину FortiGate.

Нажмите Добавить.

В поле Search the Marketplace (Поиск в Marketplace), введите Forti. Выберите Fortinet FortiGate Next-Generation Firewall (Брандмауэр Fortinet FortiGate следующего поколения).

Выберите план программного обеспечения (с использованием собственной лицензии, если она есть, или с оплатой по мере использования в случае ее отсутствия). Выберите Создать.

Заполните конфигурацию виртуальной машины.

Снимок экрана, демонстрирующий создание виртуальной машины.

Задайте для параметра Authentication type (Тип аутентификации) значение Password (Пароль) и укажите учетные данные администратора для виртуальной машины.

Выберите Просмотреть и создать > Создать.

Дождитесь завершения развертывания виртуальной машины.

Установка статического общедоступного IP-адреса и назначение полного доменного имени

Чтобы обеспечить единообразное взаимодействие с пользователем, установите общедоступный IP-адрес, назначенный виртуальной машине FortiGate статически. Кроме того, сопоставьте его с полным доменным именем (FQDN).

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

На экране Overview (Обзор) выберите общедоступный IP-адрес.

Снимок экрана настроек VPN для подключения к FortiGate через SSL.

Выберите Static > Save (Статический > Сохранить).

Если вы владеете общедоступным доменным именем с маршрутизацией для среды, в которой развертывается виртуальная машина FortiGate, создайте запись узла (A) для виртуальной машины. Эта запись сопоставляется с общедоступным IP-адресом статически.

Создание входящего правила группы безопасности сети для TCP-порта 8443

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

В меню слева выберите Сеть. Будет показан список с сетевым интерфейсом, а также правила входящих портов.

Выберите Добавить правило входящего порта.

Создайте правило входящего порта для TCP 8443.

Снимок экрана, на котором показано добавление правила безопасности для входящего порта.

Нажмите Добавить.

Создание второго виртуального сетевого адаптера для виртуальной машины

Чтобы сделать доступными для пользователей внутренние ресурсы, необходимо добавить второй виртуальный сетевой адаптер в виртуальную машину FortiGate. Виртуальная сеть в Azure, в которой находится виртуальный сетевой адаптер, должна иметь подключение с возможностью маршрутизации к этим внутренним ресурсам.

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

Если виртуальная машина FortiGate еще не остановлена, выберите команду Остановить и дождитесь завершения работы виртуальной машины.

В меню слева выберите Сеть.

Выберите Подключить сетевой интерфейс.

Выберите команду Create and attach network interface (Создать и присоединить сетевой интерфейс).

Настройте свойства нового сетевого интерфейса, а затем выберите команду Создать.

Снимок экрана создания сетевого интерфейса.

Запустите виртуальную машину FortiGate.

Настройка FortiGate VM

В следующих разделах описано, как настроить виртуальную машину FortiGate.

Установка лицензии

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

Если в развертывании используется модель с собственной лицензией, вы увидите запрос на ее отправку. Выберите созданный ранее файл лицензии и отправьте его. Нажмите ОК и перезапустите виртуальную машину FortiGate.

Снимок экрана с лицензией для виртуальной машины FortiGate.

После перезагрузки опять войдите в систему с учетными данными администратора, чтобы проверить лицензию.

Обновление встроенного ПО

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System > Firmware (Система > Встроенное ПО).

На странице Firmware Management (Управление встроенным ПО) нажмите Browse (Обзор) и выберите скачанный ранее файл встроенного ПО.

Игнорируйте предупреждение и выберите Backup config and upgrade (Резервное копирование конфигурации и обновление).

Снимок экрана страницы управления встроенным ПО.

Выберите Continue (Продолжить).

При появлении запроса на сохранение конфигурации FortiGate (в формате файла CONF) нажмите кнопку Save (Сохранить).

Дождитесь отправки и применения встроенного ПО. Дождитесь перезагрузки виртуальной машины FortiGate.

После перезагрузки виртуальной машины FortiGate опять войдите в систему с учетными данными администратора.

Когда появится запрос на настройку панели мониторинга, выберите Later (Позже).

После запуска учебного видео нажмите кнопку ОК.

Изменение порта управления на TCP 8443

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System (Система).

Снимок экрана, демонстрирующий отправку удаленного сертификата.

Отправка сертификата для подписи SAML в Azure AD

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System > Certificates (Система > Сертификаты).

Выберите Импорт > Remote Certificate (Удаленный сертификат).

Перейдите к сертификату, скачанному из развертывания пользовательского приложения FortiGate в клиенте Azure. Выберите его и нажмите кнопку ОК.

Отправка и настройка пользовательского SSL-сертификата

При необходимости можно настроить виртуальную машину FortiGate с помощью собственного SSL-сертификата, который поддерживает используемое полное доменное имя. Если у вас есть доступ к SSL-сертификату, упакованному с помощью закрытого ключа в формат PFX, то его можно использоваться для этой цели.

Пропустите все ошибки сертификата.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите System > Certificates (Система > Сертификаты).

Перейдите к PFX-файлу, содержащему SSL-сертификат и закрытый ключ.

В меню слева выберите System > Settings (Система > Параметры).

Для входа укажите учетные данные администратора FortiGate. Теперь должен использовать правильный SSL-сертификат.

Настройка превышения времени ожидания аутентификации

Перейдите на портал Azure и откройте параметры виртуальной машины FortiGate.

В меню слева выберите Последовательная консоль.

Войдите в последовательную консоль с учетными данными администратора виртуальной машины FortiGate.

В последовательной консоли запустите выполнение таких команд:

Убедитесь, что сетевые интерфейсы получают IP-адреса.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите Сеть.

В разделе "Сеть" выберите Интерфейсы.

Снимок экрана с адресацией сетевого интерфейса.

Убедитесь, что виртуальная машина FortiGate имеет правильный маршрут к локальным корпоративным ресурсам.

Виртуальные машины Azure с несколькими сетевыми интерфейсами содержат все сетевые интерфейсы в одной виртуальной сети (но, возможно, отдельные подсети). Это часто означает, что оба сетевых интерфейса имеют подключение к локальным корпоративным ресурсам, публикуемым через FortiGate. По этой причине необходимо создать пользовательские записи маршрутов, обеспечивающие движение трафика от правильного интерфейса при создании запросов к локальным корпоративным ресурсам.

Войдите с использованием учетных данных администратора, предоставленных при развертывании виртуальной машины FortiGate.

В меню слева выберите Сеть.

В разделе "Сеть" выберите Статические маршруты.

Щелкните Создать.

Для параметра "Назначение" выберите Подсеть.

В разделе подсеть укажите сведения о подсети, в которой находятся локальные корпоративные ресурсы (например, 10.1.0.0/255.255.255.0).

Для параметра "Адрес шлюза" укажите шлюз в подсети Azure, к которой подключен интерфейс port2 (например, это обычно адрес, который заканчивается на 1, например 10.6.1.1).

Для параметра "Интерфейс" выберите внутренний сетевой интерфейс port2.


Приветствую в третьей публикации цикла статей, посвященному Cisco ISE. Ссылки на все статьи в цикле приведены ниже:

В данной публикации вас ждет погружение в гостевой доступ, а также пошаговое руководство интеграции Cisco ISE и FortiGate для настройки FortiAP - точки доступа от Fortinet (в целом подходит любое устройство, поддерживающее RADIUS CoA - Сhange of Authorization).

Примечание: Check Point SMB устройства не поддерживают RADIUS CoA.

Замечательное руководство на английском языке описывает, как создать гостевой доступ с помощью Cisco ISE на Cisco WLC (Wireless Controller). Давайте разбираться!

1. Введение

Гостевой доступ (портал) позволяет предоставить доступ в Интернет или к внутренним ресурсам для гостей и пользователей, которых вы не хотите впускать в свою локальную сеть. Существует 3 предустановленных типа гостевого портала (Guest portal):

Hotspot Guest portal - доступ в сеть гостям предоставляется без данных для входа. Как правило, пользователям требуется принять “Политику использования и конфиденциальности” компании, прежде чем получить доступ в сеть.

Sponsored-Guest portal - доступ в сеть и данные для входы обязан выдать спонсор - пользователь, ответственный за создание гостевых учеток на Cisco ISE.

Self-Registered Guest portal - в этом случае гости используют существующие данные для входа, либо сами себе создают аккаунт с данными для входа, однако требуется подтверждение спонсора для получения доступа в сеть.

На Cisco ISE можно развернуть множество порталов одновременно. По умолчанию на гостевом портале пользователь увидит логотип Cisco и стандартные общие фразы. Это все можно кастомизировать и даже установить просмотр обязательной рекламы перед получением доступа.

Настройку гостевого доступа можно разбить на 4 основных этапа: настройка FortiAP, установление связности Cisco ISE и FortiAP, создание гостевого портала и настройка политики доступа.

2. Настройка FortiAP на FortiGate

FortiGate является контроллером точек доступа и все настройки проводятся на нем. Точки доступа FortiAP поддерживают PoE, поэтому как только вы подключили ее в сеть по Ethernet, можно начинать настройку.

1) На FortiGate зайдите во вкладку WiFi & Switch Controller > Managed FortiAPs > Create New > Managed AP. Используя уникальный серийный номер точки доступа, который указан на самой точке доступа, добавьте ее как объект. Либо же она может обнаружиться сама и тогда нажмите Authorize с помощью правой клавиши мыши.

2) Настройки FortiAP могут быть по умолчанию, для примера оставьте как на скриншоте. Крайне рекомендую включать 5 ГГц режим, ибо некоторые устройства не поддерживают 2.4 ГГц.

3) Затем во вкладке WiFi & Switch Controller > FortiAP Profiles > Create New мы создаем профиль настроек для точки доступа (версия 802.11 протокола, режим SSID, частота канала и их количество).

Пример настроек FortiAP

4) Следующий шаг - создание SSID. Перейдите во вкладку WiFi & Switch Controller > SSIDs > Create New > SSID. Здесь из важного следует настроить:

адресное пространство для гостевого WLAN - IP/Netmask

RADIUS Accounting и Secure Fabric Connection в поле Administrative Access

Опция Device Detection

SSID и опция Broadcast SSID

Security Mode Settings > Captive Portal

Authentication Portal - External и вставить ссылку на созданный гостевой портал из Cisco ISE из п. 20

User Group - Guest Group - External - добавить RADIUS на Cisco ISE (п. 6 и далее)

5) Затем следует создать правила в политике доступа на FortiGate. Перейдите во вкладку Policy & Objects > Firewall Policy и создайте правило следующего вида:

3. Настройка RADIUS

6) Перейдите в веб интерфейс Cisco ISE во вкладку Policy > Policy Elements > Dictionaries > System > Radius > RADIUS Vendors > Add. В данной вкладке мы добавим в список поддерживаемых протоколов RADIUS от Fortinet, так как почти каждый вендор имеет собственные специфические атрибуты - VSA (Vendor-Specific Attributes).

Список атрибутов RADIUS Fortinet можно найти здесь . VSA отличаются по уникальному числу Vendor ID. У Fortinet этот Полный список VSA был опубликован организацией IANA.

7) Задаем имя словарю, указываем Vendor ID (12356) и нажимаем Submit.

8) После переходим в Administration > Network Device Profiles > Add и создаем новый профиль устройства. В поле RADIUS Dictionaries следует выбрать ранее созданный Fortinet RADIUS словарь и выбрать методы CoA для того, чтобы использовать их потом в политике ISE. Я выбрал RFC 5176 и Port Bounce (shutdown/no shutdown сетевого интерфейса) и соответствующие VSA:

Fortinet-Access-Profile = read-write

Fortinet-Group-Name = fmg_faz_admins

9) Далее следует добавить FortiGate для связности c ISE. Для этого зайдите во вкладку Administration > Network Resources > Network Device Profiles > Add. Изменить следует поля Name, Vendor, RADIUS Dictionaries (IP Address используется FortiGate, а не FortiAP).

Пример настройки RADIUS со стороны ISE


10) После следует настроить RADIUS на стороне FortiGate. В веб интерфейсе FortiGate зайдите в User & Authentication > RADIUS Servers > Create New. Укажите имя, IP адрес и Shared secret (пароль) из прошлого пункта. Далее нажмите Test User Credentials и введите любые учетные данные, которые могут подтянуться через RADIUS (например, локальный пользователь на Cisco ISE).

11) Добавьте в группу Guest-Group (если ее нет создайте) RADIUS сервер, как и внешних источник пользователей.

12) Не забудьте добавить группу Guest-Group в SSID, который мы создали ранее в п. 4.

4. Настройка пользователей аутентификации

13) Опционально вы можете импортировать на гостевой портал ISE сертификат или создать самоподписанный сертификат во вкладке Work Centers > Guest Access > Administration > Certification > System Certificates.

14) После во вкладке Work Centers > Guest Access > Identity Groups > User Identity Groups > Add создайте новую группу пользователей для гостевого доступа, либо же используйте созданные по умолчанию.

15) Далее во вкладке Administration > Identities создайте гостевых пользователей и добавьте их в групп из прошлого пункта. Если же вы хотите использовать сторонние учетные записи, то пропустите данный шаг.

16) После переходим в настройки Work Centers > Guest Access > Identities > Identity Source Sequence > Guest Portal Sequence - это предустановленная последовательность аутентификации гостевых пользователей. И в поле Authentication Search List выберите порядок аутентификации пользователей.

17) Для уведомления гостей одноразовым паролем можно сконфигурировать SMS провайдеров или SMTP сервер для этой цели. Перейдите во вкладку Work Centers > Guest Access > Administration > SMTP Server или SMS Gateway Providers для данных настроек. В случае с SMTP сервером требуется создать учетку для ISE и указать данные в этой вкладке.

Пример настройки SMTP сервера и SMS шлюза для одноразового пароля

5. Настройка гостевого портала

19) Как было упомянуто в начале, есть 3 типа предустановленных гостевых портала: Hotspot, Sponsored, Self-Registered. Предлагаю выбрать третий вариант, так как он наиболее часто встречающийся. В любом случае настройки во многом идентичны. Поэтому переходим во вкладку Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal (default).

20) Далее во вкладке Portal Page Customization выберите “View in Russian - Русский”, чтобы портал стал отображаться на русском языке. Вы можете изменять текст любой вкладки, добавить свой логотип и многое другое. Справа в углу превью гостевого портала для более удобного представления.

Пример настройки гостевого портала с саморегистрацией

Чтобы отображался ваш домен, следует подгрузить сертификат на гостевой портал, смотрите шаг 13.

22) Перейдите во вкладку Work Centers > Guest Access > Policy Elements > Results > Authorization Profiles > Add для создания профиля авторизации под ранее созданный Network Device Profile.

23) Во вкладке Work Centers > Guest Access > Policy Sets отредактируйте политику доступа для WiFi пользователей.

24) Попробуем подключиться к гостевому SSID. Меня сразу перенаправляет на страницу входа. Здесь можно зайти под учеткой guest, созданной локально на ISE, либо зарегистрироваться в качестве гостевого пользователя.

26) Во вкладке RADIUS > Live Logs на Cisco ISE вы увидите соответствующие логи входа.

6. Заключение

В данной долгой статьей мы успешно настроили гостевой доступ на Cisco ISE, где в качестве контроллера точек доступа выступает FortiGate, а в качестве точки доступа FortiAP. Получилась этакая нетривиальная интеграция, что в очередной раз доказывает широкое применение ISE.

Для тестирования Cisco ISE обращайтесь по ссылке , а также следите за обновлениями в наших каналах ( Telegram , Facebook , VK , TS Solution Blog , Яндекс.Дзен ).

Читайте также: