Lưu ý: Hướng dẫn này mình thực hiện trên phiên bản OS v6.0.4. Các phiên bản khác có thể khác nhau về giao diên, các bạn có thể làm tương tự. Trong bài viết này mình cấu hình để dữ liệu remote client truy cập mạng nội bộ và internet đều đi qua firewall (SSL VPN full tunnel for remote user).
Trong bài lab mình sử dụng firewall Fortigate được cấu hình IP tĩnh và NAT ra internet. Trong các mô hình thực tế các bạn có thể cấu hình IP tĩnh hoặc sử dụng PPPoE trên cổng wan. Dữ liệu người đều đi qua firewall để chúng ta có thể thực thi các chính sách trên các traffic này.
Trước tiên, chúng ta cần đảm bảo các cài đặt cơ bản ban đầu để người dùng bên trong mạng nội bộ có thể truy cập được internet và các dịch vụ bên trong mạng.
Xem thêm Hướng dẫn cấu hình cơ bản trên Firewall Fortigate cho phép mạng nội bộ truy cập Internet
Truy cập User & Device > User Definition, chọn Create New, tạo các user để truy cập SSL VPN:
Tạo group để nhóm các User, truy cập User & Device > User Groups, chọn Create New:
Trong bài này mình sử dụng luôn portals full-access đã được định nghĩa sẵn cho cho SSL-VPN. Các bạn có thể tạo các portal khác cho SSL VPN và bật cả 2 tính năng Tunnel Mode và Webmode để có thể truy cập được bằng web access và FortiClient.
Truy cập VPN > SSL-VPN Portals, chọn edit full-access Portal
Ở đây mình sẽ tạo sẵn 1 bookmarks để có thể truy cập nhanh vào firewall. Trong phần Predefined Bookmarks, chọn Create New và nhập địa chỉ IP nội bộ của Firewall, chọn giao thức HTTP/HTTPS
Chọn OK để lưu các thông tin vừa chỉnh sửa.
Truy cập VPN > SSL-VPN Settings:
Authentication/Portal Mapping: chọn Create New và trỏ user group VPN tới portal Full-access mà chúng ta vừa sửa ở trên. Phần All Other Users/Groups chon portal Web-access.
Tạo 1 local address hoặc 1 địa chỉ IP cụ thể của server hoặc thiết bị trong mạng LAN để cho phép VPN Client có thể truy cập vào 1 mạng nội bộ nào đó. Nếu muốn cho VPN Client có thể truy cập tới tất cả các LAN, các bạn có thể bỏ qua bước này.
Nếu có nhiều dịch vụ hoặc nhiều máy chủ với các chính sách khác nhau, bạn có thể tạo nhiều policy tương ứng với các chính sách. Trong bài lab này mình chọn ALL để cho phép truy cập toàn bộ.
Trong phần edit SSL VPN Portal, chúng ta đã cấu hình để VPN client có thể truy cập internet thông qua SSL VPN Tunnel nên chúng ta phải cấu hình thêm 1 policy để truy cập internet thông qua firewall. Nếu chỉ muốn cho VPN Client truy cập mạng nội bộ thì có thể bỏ qua bước này và bật tính năng
Tùy chọn này cho phép check các ứng dụng trên máy client như antivirus, firewall software, antivirus software... trên máy client. Nếu quá trình check fail thì sẽ không kết nối VPN được thông qua SSL VPN Tunnel.
Trong ví dụ này mình sẽ bật tính năng check phần mềm diệt virus trên client. Việc này yêu cầu phải có phần mềm diệt virut trên client thì mới kết nối được VPN. Để bật tính năng này lên chúng ta phải vào CLI Console và edit SSL VPN Portals sử dụng cho SSL VPN.
Trên VPN Client, mở trình duyệt web và nhập địa chỉ Wan của Firewall kèm theo port. Trong bài lap của mình IP Wan là 192.168.1.90 nên đường dẫn sẽ là : https://192.168.1.90:10443/.
Đăng nhập bằng tài khoản VPN đã tạo. Ở đây đã có sẵn 1 Bookmarks với IP là 10.0.0.1 của Firewall mà chúng ta đã tạo ở trên để truy cập nhanh.
Để truy cập các dịch vụ khác, chọn Quick Connection và chọn dịch vụ cũng như địa chỉ IP tương ứng.
Để sử dụng FortiClient, chúng ta có thể vào web portal để download hoặc truy cập vào trang chủ của hãng: FortiClient
Mở FortiClient và thiết lập các thông số kết nối:
Chọn Save và nhập Password để kết nối VPN. Sau khi có thông báo VPN Connected bạn đã có thể truy cập vào mạng nội bộ của công ty và cả internet thông qua Firewall
Truy cập Monitor > SSL-VPN Monitor để kiểm tra các phiên đang kết nối VPN.
Như vậy là chúng ta đã cấu hình thành công SSL VPN cho phép remote user truy cập qua cả web mode và tunnel mode. Chúc các bạn thành công!
Bình luận bài viết