Cấu hình FortiGate Phần 3: Cấu hình VPN Client to Gateway (Client to Site)

Phần 3: Cấu hình VPN Client to Gateway (Client to Site)
Sơ đồ mạng:

Hệ thống mạng trong công ty các máy tính được kết nối local mà ta vẫn thường gợi là mạng LAN. Khi ra ngoài khỏi công ty (về nhà, đi công tác, hoặc café chẳng hạn…) để lấy được dữ liệu lưu trữ và chia sẽ trong công ty, thì chúng ta sẽ sử dụng tính năng tích hợp trong Firewall FortiGate, tính năng này gọi là VPN (Virtual Private Network) để kết nối vào mạng LAN.
Để làm được việc này chúng ta cần có các điều kiện như sau:
+ 1 thiết bị làm VPN server và cấu hình chức năng VPN
+ Các máy client muốn kết nối đến VPN server phải kết nối internet và phải tạo 1 connection client (PPTP hoặc SSL).
Trong bài viết này tôi giới thiệu 2 kiểu kết nối phổ biến và thông dụng: VPN PPTP (Point to Point Tunnel Protocol) đây là kiểu kết nối VPN củ khá phổ biến và SSL-VPN đây là kiểu VPN bảo mật tốt linh động (chỉ cần PC có trình duyệt internet) và phổ biến nhất hiện nay.

I. VPN Client to Gateway bằng giao thức PPTP

1. Đầu tiên ta phải tạo VPN server trên Firewall Fortigate theo các bước như sau:
+ Vào VPN >> PPTP >> và Enable PPTP lên.
+ Nhập dãy địa chỉ IP cho Client khi connect vào
+ User Group: chọn user group .
+ Nhấn Apply.

2. Tiếp theo vào User >> local >> Create new và nhập thông tin như sau:

3. Tạo user group và add user spt vào Group.
+ Vào user >> user Group >> Create New.
+ Nhập tên VPN_CLIENT_TO_SITE trong NAME
+ Chọn user spt và nhấn mũi tên qua phải.
+ Nhấn ok.

4. Tiếp theo tạo Range IP cho VPN
+ Vào Firewall >> Address >> Create new.
+ Address name: nhập tên cho vùng địa chỉ
+ Type: chọn Subnet/range
+ Subnet/IP Range: nhập 192.168.150.0 – 255.255.255.0
+ Interface: Any.
+ Nhấn OK.

5. Tạo policy cho phép VPN client connect vào Firewall.
+ Vào Firewall >> Policy >> Create New.
+ Các thông số như hình


Như vậy là ta đã hoàn thành việc cấu hình VPN Client bằng giao thức PPTP trên Firewall Fortigate.
Bước tiếp theo là chúng ta sẽ tạo sự kết nối từ các máy Client để truy cập vào bên trong hệ thống của mạng.

6. Tạo VPN Client trên Windows (bài viết thực hiện trên Windows XP, các HĐH Windows sau này các bạn có thể thực hiện tương tự)
+ Vào Start >> Settings >> Network Connections >> New connections Wizard

+ Nhấn Next.
+ Chọn Connect to the network at my workplace
+ Nhấn Next.

+ Chọn Virtual Private Network Connection >> Next

+ Đặt tên cho kết nối >> Next

Điền IP tĩnh mặt ngoài của Fortigate và nhấn Next >> nhấn Next.

+ Check vào Add a shortcut to this connection to my destop
+ Nhấn Finish

+ Để kết nối ta mở giao diện kết nối lên và nhập như sau:

+ Điền các thông tin user và pass tương ứng đã tạo ở trên
+ Nhấn Connect để kết nối VPN
Như vậy là ta đã thực hiện xong cấu hình VPN Client to Gateway bằng giao thức PPTP.

Sau đây tôi sẽ trình bày sơ lược cấu hình SSL-VPN

II. Cấu hình SSL-VPN

1. Tạo VPN server
+ Vào VPN >> Chọn SSL >> Enable SSL-VPN >> Chọn IP Pool

2. Tao Web Portal (giao diện cho Client khi kết nối VPN vào Gateway)

3. Tạo user cho VPN-SSL: ta có thể tạo user local trực tiếp trên Firewall hoặc dùng user trong Server AD thông qua các giao thức RADIUS.
+ Tạo user local

4. User là các Client trong hệ thống AD, ta phải cấu hình RADIUS chứng thực VPN-SSL
+ Vào mục User >> Remote >> Radius
+ Điền các thông tin về server RADIUS như hình.

5. Cấu hình User Group
+ Name: đặt tên cho user group
+ Type: SSL VPN
+ Portal: Chọn kiểu portal đã tạo ở trên
+ Users/Groups: Add users cần đưa vào nhóm

6. Tạo policy cho phép VPN-SSL client kết nối vào FortiGate Firewall

Đến đây chúng ta đã hoàn tất cấu hình SSL-VPN trên Firewall FortiGate

7. Để truy cập SSL-VPN ta thực hiện như sau
+ Mở một trình duyệt bất kỳ(IE, Firefox, Chrome...).
+ Vào phần Address đánh vào IP mặt ngoài kết nối đến Firewall FortiGate (221.133.3.94) và port mặc định (port:10443) như sau https://221.133.3.94:10443

+ Gõ vào User name và password tương ứng
+ Nếu thành công sẽ hiện ra Web Portal

Giờ ở bất kỳ đâu (miễn là có Internet) ta có thể truy cập các ứng dụng trong mạng LAN mà không cần tới công ty (dĩ nhiên muốn truy xuất đến đâu ta phải phân quyền và tạo policy cho user hoặc nhóm user nào đó).

| Hết phần 3 |

Chi tiết xem tại: HƯỚNG DẪN CẤU HÌNH FIREWALL FORTIGATE | FORTINET