Cấu hình VPN Site to Site trên Firewall Fortigate

Cấu hình VPN Site to Site trên Firewall Fortigate Ver 5.2

Bài viết này sẽ hướng dẫn cách cấu hình VPN Site to Site trên Firewall Fortigate với Firmware Ver 5.2, nhằm giúp mọi người có thêm tài liệu tham khảo cũng như làm quen với giao diện cấu hình và các tính năng của FortiGate. Trong bài này ta sử dụng mô hình sau:



* Các bước thực hiện:
- Đặt IP cho các thiết bị
- Cấu hình VPN ở trung tâm
- Cấu hình Authentication ở trung tâm
- Cấu hình Policy& Routing ở trung tâm
- Cấu hình VPN ở chi nhánh
- Cấu hình chứng thực ở chi nhánh
- Cấu hình Policy& Routing ở chi nhánh
- Kiểm tra

* Tiến hành cấu hình:

1. Trên Fortigate tại trung tâm.
Trước tiên ta đặt IP cho Fortigate theo mô hình trên.


Tiếp theo, ta cấu hình VPN như sau, ta đặt tên cho kết nối VPN, chọn template là Site to Site - Fortigate



Kế đến, ta cấu hình Remote Gateway và pre-share key, với Gateway là IP wan của Fortigate ở chi nhánh và pre-share là dãy số bí mật tự chọn



Cấu hình Policy và Routing, ta chọn local interface là interface Lan, Local subnet là đường mạng nội bộ ở trung tâm và Remote subnet là đường mạng nội bộ ở chi nhánh



Kiểm tra lại kết quả cấu hình VPN


2. Cấu hình VPN cho Fortigate ở chi nhánh
Đặt IP cho Fortigate theo mô hình


Tiếp tục cấu hình VPN


Cấu hình Gateway và pre-share key


Cấu hình Policy và Routing



Kiểm tra lại kết quả cấu hình


Các bước cấu hình đã xong, ta vào phần VPN > Monitor > IPSec Monitor để kiểm tra. Mũi tên trong cột status chỉ lên và có màu xanh là kết nối VPN đã được thiết lập và hoạt động, nếu mũi tên chỉ xuống và có màu đỏ là kết nối thất bại.


Chúc các bạn thành công!

 

Cấu hình VPN Site to Site trên Firewall Fortigate Ver 5.4
Bài viết sẽ hướng dẫn các bạn cấu hình VPN Site to Site trên Firewall Fortigate với FortiOS version 5.4, mô hình thực hiện như sơ đồ bên dưới:



1. Cấu hình VPN trên Firewall FortiGate ở site chính

Trên Fortigate ở site chính, các bạn vào VPN > IPsec Wizard

Chọn Site to Site template, chọn Fortigate, click Next.



Trong bước Authentication, chọn IP Address, thiết lập IP của Fortigate ở site nhánh, nhập Preshare-key và click Next.


Bước tiếp theo, chọn Local Interface, nhập Local Subnets, Remote Subnets, click Create.



Một bảng tóm tắt hiển thị các thông tin đã cấu hình sau khi hoàn tất các bước trên.


2. Cấu hình VPN trên Firewall FortiGate ở site nhánh

Trên Fortigate ở site nhánh, các bạn vào VPN > IPsec VPN

Chọn Site to Site template, và chọn Fortigate.



Trong bước Authentication, chọn IP Address và nhập IP Fortigate ở site chính, nhập preshare-key và click Next.



Trong bước Policy & Routing, thiết lập Local Interface, Local subnets và Remote subnets



Bảng tóm tắt hiển thị các thông tin đã cấu hình



3. Kiểm tra kết quả

Trên Fortigate, các bạn vào Monitor > IPsec Monitor để kiểm tra trạng thái của VPN tunnel. Right-click vào dòng trạng thái chọn Bring Up. Nếu bạn thấy status là Up thì việc kết nối VPN giữa 2 site đã thành công.


Đến đây, việc cấu hình VPN Site to Site trên Firewall Fortigate đã hoàn tất, chúc các bạn thực hiện thành công.

 

Trouble shoot VPN Site to Site trên Firewall Fortigate
Bài viết sau sẽ hướng dẫn các bạn cách kiểm tra và khắc phục một số lỗi IPsec VPN site-to-site thường gặp trên Firewall Fortigate, mô hình thực hiện hình bên dưới.



* Lỗi số 1: Preshare key miss match

Các bạn vào màn hình Command line trên Fortigate ở Site chính và gõ các lệnh như bên dưới, lưu ý chọn tên tunnel là HQ-to-Branch (VPN tunnel trên site chính).



Tiếp theo, vào IPsec monitor và Right click chọn Bring up, ta thấy trạng thái tunnel vẫn là Down.



Các bạn trở lại màn hình command line nếu thấy có thông báo lỗi Probable pre-shared secret mismatch thì hiện tại chúng ta đang gặp lỗi preshare key không khớp nhau giữa 2 thiết bị Fortigate ở site chính và site chi nhánh.



Để khắc phục, các bạn vào VPN >> IPsec >> Tunnels và chọn tunnel HQ-to-Branch, vào phần Authentication và sửa lại preshare key cho khớp với site chi nhánh.



Các bạn trở lại phần IPsec monitor sẽ thấy status của VPN tunnel là Up, như vậy ta đã khắc phục được lỗi này.



* Lỗi số 2: SA Proposal Error

Tương tự như trên, các bạn vào màn hình command line và gõ các lệnh như bên dưới.



Các bạn Right click và chọn Bring Up tunnel đang bị lỗi.



Các bạn trở lại màn hình debug sẽ thấy lỗi như bên dưới



Các bạn thực hiện debug lỗi tương tự cho site chi nhánh, lưu ý gõ tên tunnel là Branch-to-HQ (VPN tunnel trên site chi nhánh)



Các bạn chọn Bring Up



Và trở lại màn hình debug sẽ thấy lỗi như bên dưới



Các bạn vào tunnel HQ-to-Branch ở site chính và chọn Convert to Custom Tunnel



Các bạn xem phần Phase 1 Proposal và lưu ý các thông tin về mã hóa và chứng thực



Tiếp theo, các bạn vào site chi nhánh và chỉnh lại phần Phase 1 Proposal cho khớp với thông tin ở site chính.



Trở lại phần IPsec Monitor các bạn thấy Status của tunnel là Up thì việc debug đã thành công.



* Lỗi số 3: Quick mode selector eror

Các bạn gõ các lệnh debug vpn như hình dưới



Vào Ipsec monitor và chọn Bring Up tunnel đang bị lỗi



Trở lại màn hình debug, các bạn thấy thông báo lỗi như bên dưới thì hiện tại thiết bị đang gặp lỗi Quick mode selector.





Để xử lý lỗi như trên, các bạn vào phần Phase 2 Selectors trên Fortigate ở site chính để kiểm tra và chỉnh lại Local Address và Remote Address.



Các bạn tiếp tục kiểm tra Fortigate ở site chi nhánh và chỉnh sửa lại các thông tin cho đúng.



Trở lại màn hình IPsec Monitor, các bạn chọn Bring Up tunnel



Khi các bạn thấy status của tunnel là Up thì lỗi đã được khắc phục xong.



Các bước kiểm tra và xử lý một số lỗi VPN site to site thường gặp trên Firewall Fortigate đã hoàn tất.

Chúc các bạn thực hiện thành công!

 

Cấu hình VPN Site-to-Site IPsec trên Firewall Fortigate (5.4)
Trong video này, bạn sẽ sử dụng trình hướng dẫn VPN để tạo một IPsec VPN Site-to-Site giữa hai FortiGates, cho phép truyền thông giữa hai văn phòng.

 

Cấu hình VPN Site to Site trên Firewall Fortigate Ver 5.6

Bài viết sẽ hướng dẫn các bạn cấu hình VPN Site to Site trên Firewall Fortigate với FortiOS version 5.6. Với fimware 5.6 chúng ta có thể tuy chọn nhiểu hơn về Local Lan hay remote lan một cách dễ đang.

Mô hình thực hiện như sơ đồ bên dưới:


1. Cấu hình VPN trên FortiGate ở site chính

Trên Fortigate ở site chính, các bạn vào VPN > IPsec Wizard

Chọn Site to Site template, chọn Fortigate, click Next.



Trong bước Authentication, chọn IP Address, thiết lập IP của Fortigate ở site nhánh, nhập Preshare-key và click Next.


Bước tiếp theo, chọn Local Interface, nhập Local Subnets, Remote Subnets, click Create.


Một bảng tóm tắt hiển thị các thông tin đã cấu hình sau khi hoàn tất các bước trên.


2. Cấu hình VPN trên FortiGate ở site nhánh
Trên Fortigate ở site nhánh, các bạn vào VPN > IPsec VPN

Chọn Site to Site template, và chọn Fortigate.


Trong bước Authentication, chọn IP Address và nhập IP Fortigate ở site chính, nhập preshare-key và click Next.


Trong bước Policy & Routing, thiết lập Local Interface, Local subnets và Remote subnets



Bảng tóm tắt hiển thị các thông tin đã cấu hình


3. Kiểm tra kết quả
Trên Fortigate, các bạn vào Monitor > IPsec Monitor để kiểm tra trạng thái của VPN tunnel. Right-click vào dòng trạng thái chọn Bring Up. Nếu bạn thấy status là Up thì việc kết nối VPN giữa 2 site đã thành công.



Đến đây, việc cấu hình VPN Site to Site trên Firewall Fortigate đã hoàn tất, chúc các bạn thực hiện thành công.

 

Cám ơn loạt bài viết hay.