CẤU HÌNH VPN GATEWAY TO GATEWAY TRÊN FIREWALL FORTIGATE

CẤU HÌNH VPN GATEWAY TO GATEWAY TRÊN FIREWALL FORTIGATE

Để hai hay nhiều chi nhánh của công ty cách xa nhau về mặt địa lý mà có thể trao đổi dữ liệu được với nhau giống như 1 mạng LAN thì chúng ta phải có đường thuê kênh riêng (chẳng hạn Office Wan, Metronet, MPLS, Lease Line, FTTH...). Với những công ty vừa và nhỏ, việc thuê kênh riêng đôi khi vượt quá ngân sách. Để giải quyết vấn đề trên ta có thể cấu hình VPN giữa các vùng với nhau (VPN Site-to-Site). Đối với thiết bị Fortigate thì chúng ta sử dụng giao thức VPN_IPSEC để làm việc này. Để làm việc này chúng ta cần các điều kiện như sau:
- Đường truyền Internet có IP Public giữa các nơi
- IP Private của các mạng cần kết nối .
Mô hình giả định ở đây cấu hình VPN Site to Site trên thiết bị Fortigate 200F (site chính) và Fortigate 60F (site chi nhánh)


H: Mô hình VPN Site to Site

I. Cấu hình VPN Site VP chính
1. Cấu hình trên con FortiGate 200F.
Cấu hình thông số mặt ngoài trên con FortiGate 200F.
Vào VPN >> IPSEC >> Auto key >>Creat Phase1
- Name: FG1TOFG2_TUNNEL
- Remote Gateway: Static Ip Address.
- IP Address: 221.133.27.9
- Local Interface: Port9
- Authentication Method: Preshared key.
- Pre-shared Key: @thegioimang.vn
- Nhấn ok.


2. Vào VPN >> IPSEC >> Auto key >> Creat Phase2
- Name: FG1TOFG2_PHASE2
- Phase1: FG1TOFG2_TUNNEL
- Nhấn ok.


3. Xác định chính sách tường lửa trên FG-200F
3.1. Xác định IP address của network sau FG-200F.
- Vào firewall >> Address >> Creat new.
- Address name: SG-NETWORK
- Type: Subnet/IP Range
- Subnet/IP Range: 192.168.12.0/255.255.255.0
- Interface: Any.
- Nhấn OK.


3.2. Xác định IP address của network sau FG-60F.
- Vào firewall >> Address >> creat new.
- Address name: HN-NETWORK
- Type: Subnet/IP Range
- Subnet/IP Range: 192.168.22.0/255.255.255.0
- Interface: Any.
- Nhấn OK.


4. Xác định Firewall policy cho 2 VPN làm việc với nhau:
Vào Firewall >> Policy >> Creat new.
Source Interface/Zone: Port 2
Source Address: SG-NETWORK
Destination Interface/Zone: Port 9
Destination Address: HN-NETWORK
Schedule: Always
Service: Any
Action: IPSEC
VPN Tunnel: FG1TOFG2_TUNNEL
Nhấn OK.


II. Cấu hình VPN Site chi nhánh
Thực hiện cấu hình tương tự đối với Firewall Fortigate 60F ở site chi nhánh giống các bước đã thực hiện trên Firewall Fortigate 200F trên site chính, nhưng chúng ta chú ý thay đổi các IP address cho phù hợp theo mô hình như trên (Các bạn tự thực hiện tương tự nhé).

III. Kiểm tra
Để kiểm tra 2 VPN này có hoạt dộng hay chưa thì chúng ta vào VPN >> IPSEC>> Monitor.

Chúng ta chú ý đến tab status: nếu trạng thái mũi tên chỉ xuống màu đỏ thì 2 VPN này chưa thông với nhau, nếu mũi tên chỉ lên và màu xanh thì 2 VPN này đã hoạt động tốt.

Đến đây tôi đã trình bày đầy đủ các thông số cấu hình để 1 Firewall FortiGate hoạt động (tất cả các dòng FortiGate với License Forticare và Bundle). Bài viết tiếp theo tôi sẽ trình bày cách cấu hình Antivirus, Antispam, Webfilter,… Các tính năng mà đòi hỏi người dùng phải mua License FortiGate mới có.

Hết Phần 4 |

Chi tiết xem thêm: HƯỚNG DẪN CẤU HÌNH FIREWALL FORTIGATE | FORTINET