Cấu hình FortiGate Phần 4: Cấu hình VPN Gateway to Gateway (Site to Site)

Phần 4: Cấu hình VPN Gateway to Gateway (Site to Site) trên Firewall FortiGate
Sơ đồ mạng:


Để hai hay nhiều chi nhánh của công ty cách xa nhau về mặt địa lý mà có thể trao đổi dữ liệu được với nhau giống như 1 mạng LAN thì chúng ta phải có đường thuê kênh riêng (chẳng hạn Office Wan, Metronet, MPLS, Lease Line). Với những công ty vừa và nhỏ, việc thuê kênh riêng đôi khi vượt quá ngân sách. Để giải quyết vấn đề trên ta có thể cấu hình VPN giữa các vùng với nhau (VPN Site-to-Site). Đối với thiết bị Firewall Fortigate thì chúng ta sử dụng giao thức VPN_IPSEC. Để làm việc này chúng ta cần các điều kiện như sau:
- Đường truyền Internet có IP Public giữa các Sites
- IP Private của các mạng (LAN) cần kết nối .
Mô hình giả định ở đây cấu hình VPN Site to Site trên thiết bị Fortigate 200F (site chính) và Fortigate 60F (site chi nhánh)

H: Mô hình VPN Site to Site

I. Cấu hình VPN Site VP chính

1. Cấu hình trên Firewall FortiGate Site chính.
Cấu hình thông số mặt ngoài trên FortiGate
Vào VPN >> IPSEC >> Auto key >>Create Phase1
- Name: FG1TOFG2_TUNNEL
- Remote Gateway: Static Ip Address.
- IP Address: 221.133.27.9
- Local Interface: Port9
- Authentication Method: Preshared key.
- Pre-shared Key: @thegioimang.vn
- Nhấn ok.


2. Vào VPN >> IPSEC >> Auto key >> Create Phase2
- Name: FG1TOFG2_PHASE2
- Phase1: FG1TOFG2_TUNNEL
- Nhấn ok.


3. Xác định chính sách tường lửa trên FortiGate Site chính
3.1. Xác định IP address của network sau FortiGate.
- Vào firewall >> Address >> Create new.
- Address name: SG-NETWORK
- Type: Subnet/IP Range
- Subnet/IP Range: 192.168.12.0/255.255.255.0
- Interface: Any.
- Nhấn OK.


3.2. Xác định IP address của network sau FortiGate Site CN.
- Vào firewall >> Address >> Create new.
- Address name: HN-NETWORK
- Type: Subnet/IP Range
- Subnet/IP Range: 192.168.22.0/255.255.255.0
- Interface: Any.
- Nhấn OK.


4. Xác định Firewall policy cho 2 VPN làm việc với nhau:
Vào Firewall >> Policy >> Create new.
Source Interface/Zone: Port 2
Source Address: SG-NETWORK
Destination Interface/Zone: Port 9
Destination Address: HN-NETWORK
Schedule: Always
Service: Any
Action: IPSEC
VPN Tunnel: FG1TOFG2_TUNNEL
Nhấn OK.


II. Cấu hình VPN Site chi nhánh
Thực hiện cấu hình tương tự đối với Firewall Fortigate 60F ở site chi nhánh giống các bước đã thực hiện trên Firewall Fortigate 200F Site chính, nhưng chúng ta chú ý thay đổi các IP address cho phù hợp theo mô hình như trên (Các bạn tự thực hiện tương tự nhé).

III. Kiểm tra
Để kiểm tra 2 VPN này có hoạt động hay chưa thì chúng ta vào VPN >> IPSEC>> Monitor.


Chúng ta chú ý đến tab status: nếu trạng thái mũi tên chỉ xuống màu đỏ thì 2 VPN này chưa thông với nhau, nếu mũi tên chỉ lên và màu xanh thì 2 VPN này đã hoạt động tốt.

Đến đây tôi đã trình bày đầy đủ cách cấu hình để một Firewall FortiGate hoạt động (tất cả các dòng FortiGate với License Forticare và Bundle).
Phần tiếp theo tôi sẽ trình bày cách cấu hình Antivirus, Antispam, Webfilter,… Các tính năng mà đòi hỏi người dùng phải mua các gói License FortiGate mới có.

| Hết Phần 4 |

Chi tiết xem tại: HƯỚNG DẪN CẤU HÌNH FIREWALL FORTIGATE | FORTINET