Cấu hình VPN SSL Client to Site trên Firewall Fortigate V5.4

Bài viết sẽ hướng dẫn cách cấu hình thiết bị Firewall Fortigate firmware version 5.4 cho phép user kết nối vào mạng nội bộ của cơ quan sử dụng SSL VPN, kết nối bằng cách sử dụng Web browser hoặc Tunnel mode dùng Forticlient.

Mô hình thực hiện như sơ đồ bên dưới:



Bước 1: Tạo user và user group

Vào User & Device User Definition. Tạo một local user account cho SSL VPN user.











Bước 2: Tạo một SSL VPN portal cho remote users

Vào VPN > SSL-VPN Portals, edit lại portal full-access. Portal full-access cho phép user sử dụng cả tunnel mode và web mode.

Nếu các bạn tắt chế độ Split Tunneling thì traffic đi Internet sẽ thông qua Fortigate.

Thiết lập Source IP Pool để dùng dãy IP mặc định SSLVPN_TUNNEL-ADDR1.



Trong phần Predefined Bookmarks, chọn Create New để tạo bookmark mới. Bookmark được dùng để liên kết đến tài nguyên trong mạng nội bộ. Như hình bên dưới, một bookmark được thêm vào để kết nối đến Internal Firewall Fortigate, liên kết trỏ đến https://192.168.200.111



Bước 3: Cấu hình SSL VPN tunnel

Vào VPN > SSL-VPN Setting và thiết lập Listen on Interfaces là Wan1

Để tránh xung đột cổng, các bạn hãy chuyển Listen on Port thành 10443. Thiết lập Restrict Access là allow access from any host.

Trong bài viết sẽ sử dụng Certificate mặc định của Fortigate làm Server Certificate. Tuy nhiên, mình khuyến cáo các bạn mua chứng chỉ và upload nó để dùng với SSL VPN.

Trong phần Tunnel Mode Client Settings, thiết lập IP Range để dùng dãy IP mặc định SSLVPN_TUNNEL-ADDR1.



Trong phần Authentication/ Portal Mapping, thêm SSL VPN user group và map nó với portal full-access.

Nếu cần thiết, map một portal cho All Other Users/ Groups.



Bước 4: Thêm dãy địa chỉ cho Local Network

Vào Policy & Object > Address và thêm dãy địa chỉ cho mạng nội bộ.



Bước 5: Thêm Policy cho phép truy cập và mạng nội bộ và Internet

Vào Policy & Object > Ipv4 Policy. Thêm policy cho phép truy cập mạng nội bộ qua VPN tunnel interface.



Thêm policy thứ hai cho phép SSL VPN truy cập Internet.


Bước 6: Thiết lập Fortigate nhận dạng users có phần mềm Antivirus.

Vào giao diện CLI console và nhập các lệnh như bên dưới.



Bước 7: Kiểm tra kết quả

Các bước kết nối SSL VPN khác tùy thuộc vào bạn sử dụng trình duyệt hay Forticlient

* Dùng Web browser:

Các bạn dùng trình duyệt web kết nối đến địa chỉ remote gateway trên cổng VPN đã thiết lập 172.20.121.46:10443

Các bạn đăng nhập bằng tài khoản user đã tạo.



Trang web portal xuất hiện



Trong bài viết, khi các bạn click vào link của Bookmark đã tạo sẽ kết nối đến giao diện đăng nhập của Internal Fortigate



Để kết nối vào Internet, chọn Quick Connection. Chọn http/ https, sau đó nhập địa chỉ URL và click Launch.



Trang web được hiển thị



Bạn cũng có thể kết nối bằng các dịch vụ khác được cho phép, ví dụ SSH.



Một kết nối SSH được mở trên trình duyệt và kết nối đến requested Host. Cần cài đặt Java trước khi kết nối SSH.



Trên Fortigate, vào Monitor > SSL-VPN Monitor, ta thấy user đã kết nối VPN



* Dùng FortiClient:

Các bạn có thể tải FortiClient từ trang web www.forticlient.com

Các bạn mở FortiClient vào phần Remote Access, tạo một kết nối mới, sau đó click Add



Kết nối đến VPN dùng tài khoản SSL VPN User



Bạn đã có thể kết nối vào VPN tunnel



Trên Fortigate, vào Monitor > SSL-VPN Monitor, ta thấy user được kết nối vào VPN



Đến đây, các bước cấu hình SSL VPN trên thiết bị Firewall Fortigate version 5.4 đã hoàn tất.


Chi tiết xem thêm tại: Cấu hình VPN SSL Client to Site trên Firewall Fortigate