Cho phép FortiClient tham gia vào OCVPN

Thảo luận trong 'Firewall Fortigate' bắt đầu bởi khoaTGM, 20/10/20.

Tags:
  1. khoaTGM

    khoaTGM Member

    - Các quản trị viên có thể cấu hình truy cập từ xa cho FortiClient trong một OCVPN hub. Việc này cung cấp các cấu hình đơn giản cho phép các nhóm người dùng truy cập vào một lớp mạng overlay.

    - Vậy OCVPN là gì? Overlay Controller VPN (OCVPN) là một giải pháp nền tảng đám mây để đơn giản hóa các cài đặt IPsec VPN. Khi kích hoạt OCVPN, các cổng IPsec phase-1, phase2, Static routes, và các Firewall Policy tự động tạo ngẫu nhiên trên tất cả các FortiGates có cùng một mạng giao tiếp. Một mạng giao tiếp được xác định là tất cả các Firewall FortiGate đã đăng ký FortiCare sử dụng cùng chung tài khoản FortiCare.
    [​IMG]

    I/. Để cấu hình truy FortiClient từ xa vào một OCVPN hub bằng GUI:
    1. Trên Primary Hub, cấu hình các user và nhóm user để dùng xác thực khi quay số bằng FortiClient cũng như quyền hạn của kết người dùng. (vd: chúng ta có 2 nhóm: dev_grp & qa_grp).
    2. Vào trang VPN > Overlay Controller VPN > Overlays > click Create New.
    3. Nhập tên (Name) và lớp mạng local (Local subnet) (174.16.101.0/24 => dev | 22.202.2.0/24 => qa).
    4. Enable FortiClient Access, để cho phép truy cập bằng FortiClient.
    5. Trong phần Access Rules, click Create New.
    6. Nhập tên (Name),và chọn nhóm (Authentication groups) cũng như lớp mạng (Overlays) mà nhóm truy cập có thể kết nối đến.
    [​IMG]

    Các nhóm xác thực sẽ được sử dụng bởi cổng IPsec Phase 1 cho việc xác nhận, và bởi các Policy cho việc ủy quyền.
    7. Click OK
    8. Có thể tạo nhiều Rule nếu cần thiết.
    9. Click Apply.
    [​IMG]

    II/. Để xem trạng thái Tunnel và hoạt động trong GUI:
    1. Vào trang Dashboard > Network.
    2. Click vào phụ mục IPsec để xem đầy đủ.
    [​IMG]

    III/. Để cấu hình truy FortiClient từ xa vào một OCVPN hub bằng lệnh CLI:
    config vpn ocvpn
    set status enable
    set role primary-hub
    set wan-interface "mgmt1"
    set ip-allocation-block 10.254.0.0 255.255.0.0
    config overlays
    edit "dev"
    config subnets
    edit 1
    set subnet 174.16.101.0 255.255.255.0
    next
    end
    next
    edit "qa"
    config subnets
    edit 1
    set subnet 22.202.2.0 255.255.255.0
    next
    end
    next
    end
    config forticlient-access
    set status enable
    set psksecret xxxxxxxxxxxx
    config auth-groups
    edit "dev"
    set auth-group "dev_grp"
    set overlays "dev"
    next
    edit "qa"
    set auth-group "qa_grp"
    set overlays "qa"
    next
    end
    end

    end

    IV/. Để xem trạng thái Tunnel và hoạt động trong CLI:
    # diagnose vpn ike gateway list
    vd: root/0
    name: _OCVPN_FCT0_0
    version: 1
    interface: mgmt1 4
    addr: 172.16.200.4:4500 -> 172.16.200.15:64916
    created: 110s ago
    xauth-user: usera
    groups:
    dev_grp 1
    assigned IPv4 address: 10.254.128.1/255.255.255.255
    nat: peer
    IKE SA: created 1/1 established 1/1 time 20/20/20 ms
    IPsec SA: created 1/1 established 1/1 time 0/0/0 ms
    id/spi: 72 1ccd2abf2d981123/fd8da107f9e4d312
    direction: responder
    status: established 110-110s ago = 20ms
    proposal: aes256-sha256
    key: 105a0291b0c05219-3decdf78938a7bea-78943651e1720536-625114d66e46f668
    lifetime/rekey: 86400/86019
    DPD sent/recv: 00000000/00000af3

    V/. Để xem dữ liệu trên PC đang chạy FortiClient:
    C:\ route print
    ----------------
    IPv4 Route Table
    -----------------

    Active Routes:
    Network Destination Netmask Gateway Interface Metric
    0.0.0.0 0.0.0.0 10.1.100.5 10.1.100.13 281
    10.1.100.0 255.255.255.0 10.254.128.2 10.254.128.1 1
    10.1.100.13 255.255.255.255 On-link 10.1.100.13 281
    10.1.101.0 255.255.255.0 10.254.128.2 10.254.128.1 1
    10.6.30.0 255.255.255.0 On-link 10.6.30.13 281
    10.6.30.13 255.255.255.255 On-link 10.6.30.13 281
    10.6.30.255 255.255.255.255 On-link 10.6.30.13 281
    10.254.0.0 255.255.0.0 10.254.128.2 10.254.128.1 1
    10.254.128.1 255.255.255.255 On-link 10.254.128.1 257
    22.202.2.0 255.255.255.0 10.254.128.2 10.254.128.1 1
    127.0.0.0 255.0.0.0 On-link 127.0.0.1 331
    127.0.0.1 255.255.255.255 On-link 127.0.0.1 331
    127.255.255.255 255.255.255.255 On-link 127.0.0.1 331
    172.16.200.4 255.255.255.255 10.1.100.5 10.1.100.13 25
    174.16.101.0 255.255.255.0 10.254.128.2 10.254.128.1 1
    224.0.0.0 240.0.0.0 On-link 127.0.0.1 331
    224.0.0.0 240.0.0.0 On-link 10.254.128.1 257
    224.0.0.0 240.0.0.0 On-link 10.6.30.13 281
    224.0.0.0 240.0.0.0 On-link 10.1.100.13 281
    255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
    255.255.255.255 255.255.255.255 On-link 10.254.128.1 257
    255.255.255.255 255.255.255.255 On-link 10.6.30.13 281
    255.255.255.255 255.255.255.255 On-link 10.1.100.13 281
    -------------------------------------------------------------------------
    Persistent Routes:
    Network Address Netmask Gateway Address Metric
    0.0.0.0 0.0.0.0 10.1.100.5 Default

    - PC có thể truy cập vào địa chỉ trong lớp mạng dev, nhưng không thể đến của qa:
    C:\Users\tester>ping 174.16.101.44
    Pinging 174.16.101.44 with 32 bytes of data:
    Reply from 174.16.101.44: bytes=32 time=1ms TTL=63
    Reply from 174.16.101.44: bytes=32 time=1ms TTL=63
    Reply from 174.16.101.44: bytes=32 time=1ms TTL=63
    Reply from 174.16.101.44: bytes=32 time=1ms TTL=63
    Ping statistics for 174.16.101.44:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
    Approximate round trip times in milli-seconds:
    Minimum = 1ms, Maximum = 1ms, Average = 1ms

    C:\Users\tester>ping 22.202.2.2
    Pinging 22.202.2.2 with 32 bytes of data:
    Request timed out.
    Request timed out.
    Request timed out.
    Request timed out.
    Ping statistics for 22.202.2.2:
    Packets: Sent = 4, Received = 0, Lost = 4 (100% loss)
     
    khoaTGM, 20/10/20
    #1

trang này