Cấu hình SSL-VPN chứng thực qua Radius server trên Firewall Fortigate.

Cấu hình SSL-VPN trên Firewall Fortigate chứng thực qua Radius server.

1. Mô hình


2. Cấu hình trên Radius server
a/ Cấu hình Radius client như hình

b/ Cấu hình các policies
- Connection Request policies




Connection Request Properties > Settings > Authentication, enable Authenticate requests on this server

Connection Request Properties > Vendor Specific, thêm Vendor-Specific, chọn RADIUS Standard và Vendor Code 12356
- Network Policies


- Add User Group

Network Policies > Constraints > Authentication Methods, enable MS-CHAP-v2.


3. Cấu hình Fortigate kết nối với Radius server
Vào User & Device > Authentication > RADIUS Servers.

Click Test Connectivity để kiểm tra kết nối


Như vậy Fortigate đã thiết lập kết nối với Radius server thành công

4. Tạo User Group cho kết nối SSL-VPN
Vào User & Device > User > User Groups > Create new
Chọn Remote server


5. Cấu hình SSL-VPN
Vào VPN > SSL > Portals.

Tắt Enable Split Tunneling

Vào VPN > SSL > Settings và set Listen on interface (s) là Wan1
Set Listen on Port là 10443
Disable Require Client Certificate


6. Cấu hình Policy cho phép kết nối vào local và ra internet
Policy & Objects > Policy > IPv4 > Create new
- Policy vào local

- Policy ra internet


7. Sử dụng Forticlient để kết nối VPN
Vào Remote Access



- Nếu có thông báo thì ta chọ Yes


8. Kết quả


Ta thấy thực hiện thành công kết nối SSL-VPN

 

Cấu hình nhiều cổng SSL VPN Portal chứng thực với hồ sơ trên RADIUS Server

- Bài viết này sẽ hướng dẫn các bước cần thiết để cấu hình SSL VPN portal với thông tin xác thực giống với các nhóm có trên RADIUS server.

- Giao diện và cấu hình có được áp dụng cho FortiOS 6.0 trở lên.

- Trong bài viết này có 2 nhóm khác nhau (VPN1 và VPN2), cả hai sẽ rơi vào các vùng địa chỉ IP khác nhau khi kết nối tới bằng chế độ SSL VPN tunnel. Mục đích cuối cùng là có user kết nối thông qua SSL VPN nhận IP khác nhau trong khi nhận xác thực từ RADIUS.

CẤU HÌNH TRÊN FIREWALL FORTIGATE:
Bước 1. Trên giao diện quản lý GUI của thiết bị tường lửa FortiGate kết nối RADIUS server từ đó tài khoản và ánh xạ người dúng sẽ được tìm thấy.

Giao diện GUI:
Vào User & Authentication -> RADIUS Servers, và chọn 'Create New', bên dưới 'Edit RADIUS Server', điền tên 'Name' cho hồ sơ này, chọn phương pháp xác thực 'Authentication method', và 'NAS IP' như hình dưới bằng IP của RADIUS server bên dưới Primary Server. Khi đã nhập vào các thông tin thành công, click 'Tesst Connectivity' và trạng thái khi kiểm tra sẽ là 'Successful', nếu có lỗi hãy kiểm tra lại các thông tin để kết nối tới RADIUS.

​

Ở cửa sổ này bạn cũng có thể kiểm tra tài khoản xác thực của user có đang đẩy từ RADIUS server, nếu user đã được tạo sẵn từ trước đó.

​

Giao diện CLI:

config user radius

edit "radius-server"

set server "192.68.101.25"
set secret ENC 6xFGCGAjPJI+MlFFNkGBKDD7j5mIAme6Xg5iRYXG+iZasE/vYTTcjXOmh3LIOL4i2pciJQuVl4/5oS3xjWJlPgCB/SQZvxZgTAGZ86/s/KHK /JuArt1tP17A6F4WvV1wY4iYvZBfFj98nC8eATCVEingEsY5bjOsQZ9B9hiXLYY8cxcnoa11j/4Qqz6iadCXCXYZNg==
set nas-ip 192.68.101.10
set auth-type ms_chap_v2​

next​

end​

Để kiểm tra chủ thể RADIUS này và xem kết quả nó đang hoạt động không, sử ụng lệnh CLI:

diagnose test authserver radius <radius server_name> <authentication scheme><username><password>​

Kết quả được trả lại sẽ giống mẫu thử dưới đây:

authenticate 'username' against 'authentication scheme' succeeded, server=primary assigned_rad_session_ id=479084126 session_timeout=0 secs idle_timeout=0 secs!​

Bước 2. Kế đến, tạo User Group mới, User & Authentication > User Groups > click Create New, điền tên nhóm vào 'Name', chọn Type là 'Firewall', bên dưới Remote Groups chọn '+Add' và chọn RADIUS server.

​

Tương tự, thêm các nhóm khác vào như bước trên. Trong ví dụ này sẽ có thêm nhóm có tên là 'VPN2'.

​

CLI:

config user group

edit "VPN1"

set member "radius-server"

config match

edit 1

set server-name "radius-server"
set group-name "VPN1"​

next​

end​

next​

edit "VPN2"

set member "radius-server"

config match

edit 1
set server-name "radius-server"
set group-name "VPN2"​

next​

end​

next​

end​

Bước 3. Tạo SSL VPN Portals cho các user trên sẽ ánh xa với RADIUS, vào đường dẫn VPN > SSL VPN Portals. Tại đây đặt tên là 'VPN1' và 'VPN2'.

Tunnel mode đã được bật lên ở chế độ 'Enabled Based on Policy Destination'

Trong Source IP Pools, cấu hình đặt một dải IP sẽ cung cấp cho VPN1, ví dụ ở đây sẽ là '10.212.134.100 - 10.212.134.110'.

​

Làm các bước tương tự với VPN2 có dải IP là '10.212.134.111 - 10.212.134.120'.

​

CLI:

config vpn ssl web portal
(portal) # edit "VPN1"

config vpn ssl web portal

edit "VPN1"

set tunnel-mode enable
set web-mode enable
set ip-pools "SSLVPN_TUNNEL_ADDR1"
set dns-suffix "google.com"

config bookmark-group

edit "gui-bookmarks"
next​

end​

next​

end

(portal) # edit "VPN2"

config vpn ssl web portal

edit "VPN2"

set tunnel-mode enable
set web-mode enable
set ip-pools "SSLVPN_TUNNEL_ADDR2"
set dns-suffix "google.com"

config bookmark-group

edit "gui-bookmarks"​

next​

end​

next​

end​

Bước 4. Cuối cùng, cấu hình cho SSL VPN Settings, đảm bảo bên dưới phần Tunnel Mode Client Setting đã có các dải IP đã tạo ở trên được cọn vào, cả hai địa chỉ được chỉ định và ánh xạ tới đúng Portal.

​

CLI :

config vpn ssl settings

set servercert "Fortinet_Factory"
set tunnel-ip-pools "SSLVPN_TUNNEL_ADDR1" "SSLVPN_TUNNEL_ADDR2"
set source-interface "port1"
set source-address "all"
set source-address6 "all"
set default-portal "tunnel-access"

config authentication-rule

edit 1

set groups "VPN1"
set portal "VPN1"​

next
edit 2

set groups "VPN2"
set portal "VPN2"​

next​

end​

end​

CẤU HÌNH TRÊN RADIUS:

Bước 1. Nếu đã có các Group và Username trong AD có thể bỏ qua bước này. Ở đây, hai nhóm giống như trên FortiGate đã được tạo, VPN1 & VPN2, có hai member trong mỗi nhóm này.

​

Bước 2. Cấu hình và ánh xạ các chính sách về mạng trên Network Policy Server phải được thực hiện chính xác để ánh xạ này hoạt động. Vào Network Policy server > Policies > Network Policies > New:

​

Bước 3. Nhập vào tên cho policy này và click Next.

​

Bước 4. Dưới cửa sổ Specific Conditions, click Add và sau đó chọn User Groups:

​

Bước 5. Khi User Group được thêm vào tùy chọn tiếp theo cửa sổ để thêm nhóm sẽ hiện ra, thực hiện theo trên cửa sổ này để thêm nhóm đã có trên phần tìm kiếm dành cho tên của nhóm đó, như ví dụ ở đây là VPN1 và VPN2.

​

Click vào Check Names để server tìm và nạp đúng thông tin của nhóm đó:

​

Click OK và Next:

​

Bước 6. Để cấp phép truy cập, thực hiện cấu hình trong phần Specify Access Permission:

​

Bước 7. Ở bước này có thể chọn phương án xác thực mà bạn sẽ sử dụng:

​

Trên cửa sổ Configure Constraints bạn có thể thay đổi thêm các cài đặt ở đây nếu cần thiết:

​

Bước 8. Bây giờ tại các bước cài đặt cấu hình này, chúng ta sẽ thực hiện một số thay đổi:
Bên dưới RADiUS Attributes, vào phần Vendor Specific.

​

Click chọn Add, bên dưới Vendor chọn 'Custom' > click tiếp Add:

​

Chọn Add và bên dưới phần Specify network access server vendor, chọn 'Enter Vendor Code' và nhập '12356' cho cài đặt căn bản, nếu muốn các cài đặt nâng cao hơn để hoàn thành danh sách. Chọn thêm 'Yes. It Conforms' và click 'Configure Attribute'.

​

Trong phần Configure VSA (RF Compliant), chọn Attribute format là ‘String’ và ‘Attribute Value’ là tên nhóm mà bạn muốn gán nó vào. Ở đây nó là 'VPN1', thực hiện cho các nhóm khác như 'VPN2'.

​

Click OK và xem lại thông tin Attribute Value sẽ tương tự như ví dụ sau:

​

Xem lại các cài đặt lần cuối.

​

Với các bước cấu hình đã làm ở trên, Network Policy sẽ cho VPN1 ánh xạ tới firewall sẽ được cấu hình, giống các chính sách được tạo tùy theo nhóm có liên quan.

TESTING:

Bước 1. Khi click vào Test User Credentials trên FortiGate để thấy được nếu nó đẩy về đúng Group. Ở ví dụ dưới, kết quả có thể xem được bên dưới Server message với Value: "VPN1"

​

Kiểm tra cho user trong VPN2 đã đúng yêu cầu:

​

Bước 2. Bây giờ sẽ thực hiện kiểm tra trên FortiClient:

User 'mjohn' thuộc nhóm VPN1


User 'rchang' thuộc nhóm VPN2​