Cấu hình VPN SSL Client to Site trên Firewall Fortigate

Cấu hình VPN SSL Client to Site trên Firewall Fortigate V5.2
Bài viết hướng dẫn các bạn cấu hình VPN SSL client to gateway trên fortigate V5.2.
Mô hình thực hiện như sau:

​

Bước 1 : Các bạn vào VPN--> SSL-->portals-->Create new và làm theo như hình bên dưới :



Ở mục Predefined Bookmarks các bạn nhấn vào create new và điền giống như hình bên dưới . Host ở đây là địa chỉ trong Lan mà mình muốn kết nối tới.


Bước 2: Tạo user để cho phép kết nối VPN về và add vào group
Các bạn vào mục User & Device tạo user và add vào group


Bước 3: Tạo địa chỉ IP kết nối VPN về bên trong
Các bạn vào mục Policy & Objects --> Objects--> address,ở đây mình quy định là 192.168.101.10-254. Các bạn có thể xem hình bên dưới:


Bước 4: Các bạn vào SSL-->VPN Settings cấu hình interface kết nối vào port



Ở đây phần Listen on port mặc định port của nó là 443 như vậy sẽ trùng port với port mà mình kết nối vào vào fortigate. Để giải quyết vấn đề này thì 1 là bạn thay đổi port log vào fortigate, 2 là đổi port chạy VPN ở đây mình cho VPN chạy port 444.

Bước 5: Ở phần Authentication/Portal Mapping các bạn nhấn Create new -->Chọn group và portal mà mình đã tạo ở các bước trên.


Tạo như hình bên dưới


Bước 6: Tạo policy để cho phép kết nối VPN .


Bước 7: Truy cập vào địa chỉ wan để test kết nối VPN và download phần mềm forticlient



Điền User name và password để kết nối.

Download forticlient cho thiết bị mà mình muốn kết nối VPN



Bước 8: Cài đặt forticlient và tạo kết nối VPN.


Kiểm tra IP kết nối và test vào bên trong lấy file


Test down file về :


Truy cập vào bên trong thành công. Như vậy đã hoàn tất quá trình cấu hình VPN SSL trên Firewall Fortigate.

Chúc các bạn thành công.

 

Cấu hình VPN SSL Client to Site trên Firewall Fortigate V5.4
Bài viết sẽ hướng dẫn cách cấu hình thiết bị Firewall Fortigate firmware version 5.4 cho phép user kết nối vào mạng nội bộ của cơ quan sử dụng SSL VPN, kết nối bằng cách sử dụng Web browser hoặc Tunnel mode dùng Forticlient.

Mô hình thực hiện như sơ đồ bên dưới:



Bước 1: Tạo user và user group

Vào User & Device User Definition. Tạo một local user account cho SSL VPN user.











Bước 2: Tạo một SSL VPN portal cho remote users

Vào VPN > SSL-VPN Portals, edit lại portal full-access. Portal full-access cho phép user sử dụng cả tunnel mode và web mode.

Nếu các bạn tắt chế độ Split Tunneling thì traffic đi Internet sẽ thông qua Fortigate.

Thiết lập Source IP Pool để dùng dãy IP mặc định SSLVPN_TUNNEL-ADDR1.



Trong phần Predefined Bookmarks, chọn Create New để tạo bookmark mới. Bookmark được dùng để liên kết đến tài nguyên trong mạng nội bộ. Như hình bên dưới, một bookmark được thêm vào để kết nối đến Internal Firewall Fortigate, liên kết trỏ đến https://192.168.200.111



Bước 3: Cấu hình SSL VPN tunnel

Vào VPN > SSL-VPN Setting và thiết lập Listen on Interfaces là Wan1

Để tránh xung đột cổng, các bạn hãy chuyển Listen on Port thành 10443. Thiết lập Restrict Access là allow access from any host.

Trong bài viết sẽ sử dụng Certificate mặc định của Fortigate làm Server Certificate. Tuy nhiên, mình khuyến cáo các bạn mua chứng chỉ và upload nó để dùng với SSL VPN.

Trong phần Tunnel Mode Client Settings, thiết lập IP Range để dùng dãy IP mặc định SSLVPN_TUNNEL-ADDR1.



Trong phần Authentication/ Portal Mapping, thêm SSL VPN user group và map nó với portal full-access.

Nếu cần thiết, map một portal cho All Other Users/ Groups.



Bước 4: Thêm dãy địa chỉ cho Local Network

Vào Policy & Object > Address và thêm dãy địa chỉ cho mạng nội bộ.



Bước 5: Thêm Policy cho phép truy cập và mạng nội bộ và Internet

Vào Policy & Object > Ipv4 Policy. Thêm policy cho phép truy cập mạng nội bộ qua VPN tunnel interface.



Thêm policy thứ hai cho phép SSL VPN truy cập Internet.


Bước 6: Thiết lập Fortigate nhận dạng users có phần mềm Antivirus.

Vào giao diện CLI console và nhập các lệnh như bên dưới.



Bước 7: Kiểm tra kết quả

Các bước kết nối SSL VPN khác tùy thuộc vào bạn sử dụng trình duyệt hay Forticlient

* Dùng Web browser:

Các bạn dùng trình duyệt web kết nối đến địa chỉ remote gateway trên cổng VPN đã thiết lập 172.20.121.46:10443

Các bạn đăng nhập bằng tài khoản user đã tạo.



Trang web portal xuất hiện



Trong bài viết, khi các bạn click vào link của Bookmark đã tạo sẽ kết nối đến giao diện đăng nhập của Internal Fortigate



Để kết nối vào Internet, chọn Quick Connection. Chọn http/ https, sau đó nhập địa chỉ URL và click Launch.



Trang web được hiển thị



Bạn cũng có thể kết nối bằng các dịch vụ khác được cho phép, ví dụ SSH.



Một kết nối SSH được mở trên trình duyệt và kết nối đến requested Host. Cần cài đặt Java trước khi kết nối SSH.



Trên Fortigate, vào Monitor > SSL-VPN Monitor, ta thấy user đã kết nối VPN



* Dùng FortiClient:

Các bạn có thể tải FortiClient từ trang web www.forticlient.com

Các bạn mở FortiClient vào phần Remote Access, tạo một kết nối mới, sau đó click Add



Kết nối đến VPN dùng tài khoản SSL VPN User



Bạn đã có thể kết nối vào VPN tunnel



Trên Fortigate, vào Monitor > SSL-VPN Monitor, ta thấy user được kết nối vào VPN



Đến đây, các bước cấu hình SSL VPN trên thiết bị Firewall Fortigate version 5.4 đã hoàn tất.

Chúc các bạn thực hiện thành công.

 

Cấu hình SSL VPN Client to Site trên Firewall Fortigate Ver 5.0

Với giao diện mới, Fortigate đem lại sự tiện lợi cho người quản trị với nhiều tính năng mới, giao diện dễ theo dõi, quản trị, giúp người quản trị mạng bảo trì hệ thống mạng của mình tốt hơn. Bài viết sau đây sẽ hướng dẫn giúp mọi người có tài liệu tham khảo về cách cấu hình SSL VPN trên hệ điều hành phiên bản 5.0

I. Mô hình
Trong bài hướng dẫn này mình sử dụng mô hình sau:



II. Các bước thực hiện
Để cấu hình VPN-SSL trên firewall fortigate ta thực hiện theo 6 bước sau đây:
- Tạo user và group, add user vừa tạo vào group.
- Tạo Web Portal.
- Tạo lớp mạng nội bộ.
- Bật tính năng SSL-VPN.
- Tạo rule cho phép user kết nối vào VPN được phép ra internet.
- Kiểm tra.

III. Triển khai

1. Chuẩn bị.
Mình dùng phần mềm FortiExplorer để cấu hình qua cổng Management, các bạn cấu hình qua cáp RJ-45 thì chú ý IP của PC phải trùng với IP của cổng Internal nhé.
Ta tiến hành đăng nhập vào thiết bị (mặc định Username/password là admin/pass rỗng).



Trước khi cấu hình VPN, ta chuẩn bị giống như mô hình trên.
Vào System -> Network -> Interface cấu hình địa chỉ IP.



Trên PC tiến hành đặt IP tương ứng với các cổng. PC giả lập cho hệ thống mạng nội bộ ta đặt IP là 10.10.10.2/24, PC giả lập Clients ta đặt IP là 123.231.123.1/24

2. Cấu hình trên Fortigate:

Bước 1: Tạo user và group, add user vừa tạo vào group.
Vào User & Device -> User definition -> Create New, tạo hai Local User u1 và u2 Password là 123456.



Vào User & Definition -> User Group -> Create New, tạo Group là VPNClients, Members ta Add hai User vừa tạo vào.



Bước 2: Tạo Web Portal
Vào VPN -> SSL -> Portal -> Create New



Khai báo thông số của server, server này sẽ xuất hiện trên giao diện Portal khi user đăng nhập vào.



Bước 3: Tạo range IP của mạng nội bộ. Range này dùng để định nghĩa range mạng các User VPN kết nối vào sẽ được phép truy cập.



Bước 4: Bật tính năng SSL-VPN. Trong Policy nhấn Create New, chuyển qua kiểu là VPN, khai báo như hình dưới.



Sau đó nhấn Create new ở phần Configure SSL_VPN Authentication Rules. Cho phép Group VPNClients ta đã tạo lúc đầu được phép kết nối VPN về sau đó nhấn Ok.



Bước 5: Tạo rule cho phép user khi kết nối về được phép ra Internet

Vào Policy -> Policy -> Policy -> Policy -> Create New, tạo một Policy như hình sau ->Ok.



Vậy là ta đã cấu hình xong trên Fortigate.

3. Trên máy Clients.

Client cài phần mềm FortiClient, download ở đây: http://www.fortinet.com/resource_center/product_downloads.html
Sau khi cài đặt xong client mở trình duyệt web và truy cập vào IP WAN của Fotigate, sử dụng giao thức HTTPS: https://123.231.123.2 (Tùy theo IP cổng WAN là bao nhiêu các bạn thay đổi cho phù hợp).
Ta được giao diện đăng nhập sau. Đăng nhập bằng u1/123456 hoặc u2/123456.



Mọi người chờ cho tới khi trình duyệt load lên được giao diện như sau (tùy theo mô hình mạng mà quá trình này có thể diễn ra 5-10 phút). Cho đến khi phần Tunnel Mode load được như trong phần đóng khung màu đỏ phía dưới thì nhấn connect.



Sau khi nhấn connect thì ta sẽ thấy góc phải màn hình vi tính có một Balloon thông báo SSL-VPN đã kết nối thành công. Mở phần mềm FortiClient lên ta thấy FortiClient đã kết nối được đến VPN Server. Địa chỉ IP mà Client nhận được là địa chỉ từ mạng 10, là Pool IP mặc định của Fortigate cấp, ta có thể thay đổi Range IP này (Bước 2)



Ping thử IP của mạng nội bộ, ta thấy ping thành công, vậy là Client từ Internet đã kết nối thành công về mạng nội bộ.



Lúc kiểm tra ping thử về mạng nội bộ các bạn chú ý tắt windows Firewall trên PC đi, nếu không ta sẽ thấy ping thất bại khiến ta lầm tưởng là việc kết nối VPN thất bại.

Bài viết hướng dẫn cấu hình SSL-VPN trên Firewall Fortigate phiên bản 5.0 về cơ bản đã xong.

Chúc các bạn thành công.

 

Cấu hình SSL VPN Web and Tunnel Mode trên Firewall Fortigate phiên bản V5.4
Trong video này, bạn sẽ cho phép người dùng từ xa truy cập mạng nội bộ của bạn bằng SSL VPN, kết nối bằng chế độ web hoặc theo chế độ đường hầm bằng FortiClient.

 

Cấu hình SSL-VPN trên Firewall Fortigate V5.6

Tiếp nối loạt bài hướng dẫn cấu hình kết nối VPN, hôm nay mình sẽ hướng dẫn các bạn cấu hình SSL-VPN trên Fortigate phiên bản FortiSO 5.6 với hai cách kết nối là Web Browser và FortiClient
Xem xét mô hình như sau:



Các bước cấu hình

Bước 1: Tạo User chứng thực cho kết nối VPN
Vào User & Device User Definition. Tạo một local user account cho SSL VPN user như hình bên dưới



Bước 2: Tạo SSL VPN portal cho remote User
Vào VPN --> SSL-VPN portal, double vào full access để user có thể VPN qua Web và FortiClient. Trong phần Soure IP các bạn chọn dãy địa chỉ cấp cho user kết nối VPN mặc định là SSLVPN_TUNNEL-ADDR1.


Bước 3 : Cấu hình thông số VPN
Vào VPN --> VPN setting cài đặt các thông số như sau
· Listen on Interface cổng thiết lập tunnel
· Listen Port : port của dịch vụ VPN (chọn 10444 để tránh xung đột với các service khác )
· Tiếp đến phần Authentication/ Portal Mapping them user đã tạo trong phần user definition và map đến portal full access



Bước 4 : Tạo policy để VPN truy cập Lan và Wan




Bước 5: Kết quả

Truy cập địa chỉ https://192.168.10.103:10444 bằng
- trình duyệt Web
View attachment 4153

- Phần mền forticlient được cài đặt trên máy


Bài viết cấu hình SSL-VPN trên Firewall Fortigate V5.6 cơ bản đã xong.

Chúc các bạn thành công !

 

mua may bán đắt ạ!!!!!!!!!

 

rất đầy đủ và chi tiết, thks.