Jak przygotować konfiguracja fortigate VPN EMS – tak, by użytkownik VPN miał dostęp tylko do konkretnego urządzenia zza VPN

Dodano dnia przez Dawid Sobieraj

Jak skonfigurować FortiGate VPN z EMS, aby użytkownik miał dostęp tylko do wybranego urządzenia?

W środowiskach firmowych coraz częściej spotykamy się z potrzebą precyzyjnego ograniczenia dostępu dla użytkowników łączących się przez VPN. Zamiast pozwalać im na dostęp do całej sieci LAN, możemy skonfigurować rozwiązanie FortiGate VPN w połączeniu z FortiClient EMS (Endpoint Management Server), by użytkownik po zalogowaniu miał dostęp wyłącznie do konkretnego urządzenia — np. serwera aplikacyjnego, plików księgowości lub jednej stacji roboczej.

Poniżej znajdziesz krótką instrukcję krok po kroku, jak to poprawnie skonfigurować.

🔧 1. Konfiguracja FortiClient EMS

FortiClient EMS służy do centralnego zarządzania klientami VPN.
Aby rozpocząć:

  • Zainstaluj i skonfiguruj serwer EMS (najlepiej w środowisku Windows Server).
  • Dodaj połączenie z urządzeniem FortiGate w sekcji Fabric Connectors.
  • Utwórz użytkowników w EMS — nie ma potrzeby dodawania ich do grup, jeśli planujesz indywidualne przypisania dostępu.

🔐 2. Powiązanie użytkownika z FortiGate

Na FortiGate:

  1. Przejdź do User & Authentication → Authentication Portal Mapping.
  2. Dodaj użytkownika, który ma mieć dostęp przez VPN.
  3. Upewnij się, że mapowanie wskazuje właściwy profil VPN (SSL-VPN lub IPsec).

To pozwoli FortiGate’owi rozpoznać użytkownika i jego uprawnienia.

🌐 3. Utworzenie polityki Firewall Policy

W kolejnym kroku musimy ograniczyć ruch użytkownika tylko do konkretnego hosta.

  1. Wejdź w Policy & Objects → Firewall Policy.
  2. Utwórz nową regułę:
    • Source: użytkownik lub grupa VPN (np. SSLVPN_TunnelAddr1).
    • Destination: konkretny host, np. serwer o IP 192.168.1.10.
    • Service: możesz określić konkretne porty (np. RDP, SMB, HTTPS).
    • Action: Allow.
  3. Upewnij się, że ta reguła znajduje się wyżej niż ogólne polityki dopuszczające ruch VPN → LAN.

Dzięki temu użytkownik VPN będzie miał dostęp tylko do określonego urządzenia, a nie całej sieci lokalnej.

🧩 4. Testowanie konfiguracji

Po wdrożeniu:

  • Zaloguj się z klienta FortiClient VPN.
  • Sprawdź, czy użytkownik ma dostęp wyłącznie do wskazanego hosta.
  • Monitoruj połączenia w Log & Report → Forward Traffic, by zweryfikować, że inne adresy IP nie są osiągalne.

Podsumowanie

Takie podejście:

  • zwiększa bezpieczeństwo (zasada najmniejszych uprawnień),
  • upraszcza zarządzanie dostępem zdalnym,
  • umożliwia łatwą segmentację użytkowników według ról lub stanowisk.

W DSERVE konfigurujemy rozwiązania Fortinet w środowiskach produkcyjnych, edukacyjnych i administracji publicznej, dbając o maksymalne bezpieczeństwo połączeń VPN i kontrolę dostępu.

📞 Potrzebujesz pomocy z konfiguracją FortiGate lub EMS?
Skontaktuj się z nami: dserve.pl/kontakt
lub napisz na: [email protected]

Dodaj komentarz