【Fortigateで2要素認証、SSL-VPN編】 動作確認


設定が済んだので動作確認をしてみます。
WiFiルータやスマホのデザリングなど別ネットワーク上から
ForitegateのWANでアクセスします。

今回うちのFortiはDDNSで名前をとってるので、以下のURLになります。

https://kokoro-nfe.fortiddns.com




ログイン時にワンタイムパスワードを聞かれます。
vpn-user03はスマホOTPを設定したユーザアカウントなので、スマホアプリに表示されている6桁の数字入力。







ログインしたら、右下にVPNクライアントのDLリンクがあるので、DLしてインストールします。




一度ログアウト。





VPNクライアントからトンネルモードでVPNを張ります。




設定画面はこんな感じ。




オレオレ証明書を強行して




ワンタイムパスワードを入力する







お疲れ様でした。これでVPN接続ができたかと思います。






■TIPS、まとめ

・Emailでワンタイムパスワードが発行されない
 →迷惑メールフォルダ、送信済みメールフォルダに入っていないか。入ってなければSMTP設定を疑う。
・たまに「Unable to establish the VPN connection」エラーで接続できず。PCを再起動すると解消する
・2要素認証のEmailは有効にするにはコマンド入力が必要
・Tokenはライセンスが必要。Emailならライセンス不要
・不用意にポリシーにAV、WEBフィルタをアサインするのは危険。ライセンス切れだと
 全部ブロックになるし、VPNが繋がらなくなる可能性有り。

バグ?
・一度TokenでOTPを設定したユーザをemailに変更に再度token設定にする。
スマホには該当IDのtokenが残っているが、OTP認証を行うとaccess deniedになり再起動してもNG
FortiToken設定画面で該当ユーザのTokenシリアルをすげ替えることで解消する







—————————————————–
本連載のシリーズ

【Fortigate】SSL-VPN経由で社外から業務サイトに安全にアクセスする
【Fortigateで2要素認証、SSL-VPN編】 設定編1 下準備
【Fortigateで2要素認証、SSL-VPN編】 設定編2 ウィザードでざっくり設定
【Fortigateで2要素認証、SSL-VPN編】設定編3 SSLポータル、SMTP設定
【Fortigateで2要素認証、SSL-VPN編】 設定編4 ポリシー、ユーザ
【Fortigateで2要素認証、SSL-VPN編】 動作確認


Leave a comment

メールアドレスが公開されることはありません。

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください