Troubleshooting: Không thể truy cập vào Fortigate bằng giao diện Web GUI

Tình huống đặt ra :

Trong một vài trường hợp, bạn có thể telnet, ping hoặc SSH đến Firewall Fortigate nhưng lại không thể nào login đến nó thông qua giao diện web (GUI)

Giải pháp

1. Cài đặt Interface
Bật chức năng GUI access, Http, Https trên Fortigate bằng câu lệnh :

config system interface
edit <interface name>
set allowaccess ping http https
end

Có thể allow các dịch vụ khác như : PING, HTTP, HTTPS, TELNET, SSH, FGFM (Trong đó FGFM là yêu cầu để có thể truy cập đến FortiManager)

2. Cấu hình “Trust host”

Mặc định, “Trust host” không được cài đặt trên thiết bị nhằm ngăn chặn tất cả IP có thể truy cập dưới quyền admin, để bật chức năng này ta cấu hình như sau

FGT1 (admin-test) # show
config system admin
edit "admin-test"
set trusthost1 10.10.10.1 255.255.255.255
set trusthost2 192.168.0.0 255.255.0.0
set vdom "root"
config dashboard-tabs
...

Thay đổi cấu hình “trust host”

config system admin
edit <admin user>
set trusthost <1 to 10> <ip address>/<mask>
set ip6-trusthost <1 to 10> <ip6 address>/<mask>

Cài đặt “trust host” trên user admin thì có tác dụng cho mọi loại truy cập. Ví dụ 1 user được allow SSH thì các truy cập khác như Http, https cũng đều được hợp lệ

3. Đường dẫn MTU

Sau một vài lần đồng bộ đầu tiên cũng như quá trình chuyển đổi các gói tin, thì các gói tin http và https có thể lớn hơn 1500 bytes mặc định. Ví dụ : Khi Fortigate kết nối với các phân đoạn mạng có hỗ trợ các kích thước gói dạng mở rộng và riêng Telnet và SSH thì lại cần các gói có kích thước nhỏ hơn

Tiếp nối sau đó để sử GUI thì buộc phải cho phép việc phân mảnh các gói tin hoặc sử dụng Jumbo frames. Jumbo frames là gói tin có kích thước lớn hon 1500 byte (mặc định của MTU). Jumbo frames tăng tốc độ chuyển đổi dữu liệu bằng cách mang nhiều dữ liệu hơn trong mỗi frames, và làm giảm quá trình overhead ở đầu đoạn frame. Tất cả hệ thống mạng mang Jumbo frames phải sở hữu thiết bị có hỗ trợ loại frames này. Nếu không tất cả các frames sẽ bị dropped

4. Port truy cập của admin

Mặc định admin login vào GUI với port 443 (HTTPS) hoặc port 80 (HTTP)
Nếu cài đặt mặc định bị thay đổi thì việc truy cập GUI sẽ không thực hiện được nếu không chỉnh sửa lại URL

Để xác nhận port đang sử dụng cho HTTP/HTTPS gõ lệnh như sau :

TestFGT # show full | grep admin-port
set admin-port 80
TestFGT # show full | grep admin-sport
set admin-sport 443

Sau khi thay đổi ta được URL mới :

http(s)://<address_of_appliance>:<custom port>

Ví dụ: http://192.168.0.101:222 (222 là port đã được thay đổi cho giao thưc HTTP)
Để thay đổi port mặc định cho HTTP:

config system global
set admin-port <integer>
end

Để thay đổi port mặc định cho HTTPS :

config system global
set admin-sport <integer>
end

Chúc các bạn thành công.