Hướng dẫn Cấu hình SSL VPN Client to Site trên Firewall Fortigate Ver 5.0

Với giao diện mới, Fortigate đem lại sự tiện lợi cho người quản trị với nhiều tính năng mới, giao diện dễ theo dõi, quản trị, giúp người quản trị mạng bảo trì hệ thống mạng của mình tốt hơn. Bài viết sau đây sẽ hướng dẫn giúp mọi người có tài liệu tham khảo về cách cấu hình SSL VPN trên hệ điều hành phiên bản 5.0

I. Mô hình
Trong bài hướng dẫn này mình sử dụng mô hình sau:



II. Các bước thực hiện
Để cấu hình VPN-SSL trên firewall fortigate ta thực hiện theo 6 bước sau đây:
- Tạo user và group, add user vừa tạo vào group.
- Tạo Web Portal.
- Tạo lớp mạng nội bộ.
- Bật tính năng SSL-VPN.
- Tạo rule cho phép user kết nối vào VPN được phép ra internet.
- Kiểm tra.

III. Triển khai

1. Chuẩn bị.
Mình dùng phần mềm FortiExplorer để cấu hình qua cổng Management, các bạn cấu hình qua cáp RJ-45 thì chú ý IP của PC phải trùng với IP của cổng Internal nhé.
Ta tiến hành đăng nhập vào thiết bị (mặc định Username/password là admin/pass rỗng).



Trước khi cấu hình VPN, ta chuẩn bị giống như mô hình trên.
Vào System -> Network -> Interface cấu hình địa chỉ IP.



Trên PC tiến hành đặt IP tương ứng với các cổng. PC giả lập cho hệ thống mạng nội bộ ta đặt IP là 10.10.10.2/24, PC giả lập Clients ta đặt IP là 123.231.123.1/24

2. Cấu hình trên Fortigate:

Bước 1: Tạo user và group, add user vừa tạo vào group.
Vào User & Device -> User definition -> Create New, tạo hai Local User u1 và u2 Password là 123456.



Vào User & Definition -> User Group -> Create New, tạo Group là VPNClients, Members ta Add hai User vừa tạo vào.



Bước 2: Tạo Web Portal
Vào VPN -> SSL -> Portal -> Create New



Khai báo thông số của server, server này sẽ xuất hiện trên giao diện Portal khi user đăng nhập vào.



Bước 3: Tạo range IP của mạng nội bộ. Range này dùng để định nghĩa range mạng các User VPN kết nối vào sẽ được phép truy cập.



Bước 4: Bật tính năng SSL-VPN. Trong Policy nhấn Create New, chuyển qua kiểu là VPN, khai báo như hình dưới.



Sau đó nhấn Create new ở phần Configure SSL_VPN Authentication Rules. Cho phép Group VPNClients ta đã tạo lúc đầu được phép kết nối VPN về sau đó nhấn Ok.



Bước 5: Tạo rule cho phép user khi kết nối về được phép ra Internet

Vào Policy -> Policy -> Policy -> Policy -> Create New, tạo một Policy như hình sau ->Ok.



Vậy là ta đã cấu hình xong trên Fortigate.

3. Trên máy Clients.

Client cài phần mềm FortiClient, download ở đây: http://www.fortinet.com/resource_center/product_downloads.html
Sau khi cài đặt xong client mở trình duyệt web và truy cập vào IP WAN của Fotigate, sử dụng giao thức HTTPS: https://123.231.123.2 (Tùy theo IP cổng WAN là bao nhiêu các bạn thay đổi cho phù hợp).
Ta được giao diện đăng nhập sau. Đăng nhập bằng u1/123456 hoặc u2/123456.



Mọi người chờ cho tới khi trình duyệt load lên được giao diện như sau (tùy theo mô hình mạng mà quá trình này có thể diễn ra 5-10 phút). Cho đến khi phần Tunnel Mode load được như trong phần đóng khung màu đỏ phía dưới thì nhấn connect.



Sau khi nhấn connect thì ta sẽ thấy góc phải màn hình vi tính có một Balloon thông báo SSL-VPN đã kết nối thành công. Mở phần mềm FortiClient lên ta thấy FortiClient đã kết nối được đến VPN Server. Địa chỉ IP mà Client nhận được là địa chỉ từ mạng 10, là Pool IP mặc định của Fortigate cấp, ta có thể thay đổi Range IP này (Bước 2)



Ping thử IP của mạng nội bộ, ta thấy ping thành công, vậy là Client từ Internet đã kết nối thành công về mạng nội bộ.



Lúc kiểm tra ping thử về mạng nội bộ các bạn chú ý tắt windows Firewall trên PC đi, nếu không ta sẽ thấy ping thất bại khiến ta lầm tưởng là việc kết nối VPN thất bại.

Bài viết hướng dẫn cấu hình SSL-VPN trên Firewall Fortigate phiên bản 5.0 về cơ bản đã xong.

Chúc các bạn thành công.

Chi tiết xem thêm tại: Cấu hình VPN SSL Client to Site trên Firewall Fortigate