.png){kind=icon}
.png){kind=logo}
Hướng dẫn cấu hình Agentless VPN trên firewall Fortigate
Trong bài viết này, chúng ta sẽ cùng tìm hiểu Agentless VPN là gì và cách cấu hình Agentless VPN trên firewall Fortigate nhé.
Tổng quan về Agentless VPN trên Fortigate
Từ phiên bản FortiOS 7.6 trở lên thì SSL VPN sẽ không còn được hỗ trợ nữa, và sẽ được chuyển sang thành Agentless VPN. Nếu các bạn mua firewall mới và chạy phiên bản 7.6.3 trở lên, thì các bạn sẽ không tìm thấy các menu để cấu hình SSL VPN nữa.
Còn nếu các bạn đang sử dụng SSL VPN và nâng cấp lên phiên bản 7.6.3 trở lên, thì cấu hình SSL Tunnel cũng sẽ không được giữ lại và không hoạt động.
Các dòng firewall cứng hoặc ảo hoá có RAM thấp hơn 2G như 40F, 60F, 30G, 50G sẽ không hỗ trợ SSL VPN hoặc Agentless từ phiên bản 7.6.0
Một số dòng G mới như dòng 30G và 50G thì không hỗ trợ SSL kể cả các bạn sử dụng phiên bản thấp, do vậy thì nếu các bạn sử dụng firewall và không thấy menu cấu hình SSL VPN thì là do Firewall hoặc phiên bản firmware đó không hỗ trợ nữa. Lúc này thì chúng ta sẽ phải sử dụng Forticlient IPSec VPN, hoặc có loại VPN mới không cần dùng phần mềm Forticlient là Agentless VPN. Nếu vẫn muốn dung SSL VPN thì các bạn phải cài lại phiên bản thấp hơn.
SSL VPN sẽ có 2 loại là webmode, các bạn sẽ đăng nhập địa chỉ IP VPN trên web rồi sử dụng các dịch vụ cấu hình sẵn, còn tunnel mode là chúng ta sẽ sử dụng phần mềm FortiClient để kết nối. Về cơ bản thì Agentless VPN tương tự như SSL VPN Web mode, nghĩa là các bạn sẽ truy cập vào dịch vụ và tài nguyên mạng thông qua cổng xác thực web, và truy cập vào các tài nguyên đã được cấu hình sẵn. Còn với SSL VPN Tunnel mode, thì chúng ta sẽ phải chuyển sang sử dụng IPSec VPN trong các phiên bản mới.
Chúng ta sẽ sử dụng AgentLess VPN khi cần 1 giải pháp VPN trong đó máy client sẽ không phải cài đặt phần mềm gì, chỉ cần truy cập vào địa chỉ IP và đăng nhập tài khoản là xong. Bên cạnh đó chúng ta cũng kiểm soát chặt chẽ các dịch vụ cung cấp cho người dùng. Còn nếu cần kết nối người dùng với toàn bộ mạng LAN thì chúng ta sẽ sử dụng IPSec VPN.
Trong bài viết này thì mình sẽ hướng dẫn các bạn cấu hình Agentless VPN.
Cấu hình tài khoản VPN
Đầu tiên thì chúng ta sẽ cần phải tạo các Users và Users Group để truy cập vào VPN. Các Users này sẽ được sử dụng để đăng nhập vào VPN, còn Groups để nhóm các users có chung quyền vào, khi tạo policy hay VPN thì các bạn chỉ cần add groups vào, không cần phải add từng tài khoản VPN riêng lẻ.
Các bạn truy cập vào menu User & Authentication > User Groups, chọn Create new để tạo group mới.
Nhập các thông tin cho Group:
Mình sẽ đặt tên là AgentLess-VPN-Users
Type chọn Firewall để sử dụng Users tạo trên firewall, các bạn có thể sử dụng Users từ Radius, LDAP… đều được, tuy nhiên các bạn phải cấu hình Radius hoặc LDAP trước.
Nhấn OK để tạo.
Chuyển sang Menu User Definition.
Chọn Create New để tạo tài khoản VPN.
Type chọn Local User, hoặc chọn Radius, LDAP, TACACS user nếu các bạn xác thực tập trung.
Nhập user và password
Các thực 2 bước thì Fortigate chỉ hỗ trợ FortiToken, nếu sử dụng thì các bạn sẽ cần phải mua thêm FortiToken dạng cứng, hoặc mua license cloud. Mình sẽ tắt phần này đi.
Chọn Enable User Group và chọn Group AgentLess-VPN-Users vừa tạo.
Nhấn Submit.
Các bạn có thể tạo mỗi người 1 tài khoản, và add toàn bộ user này vào group AgentLess-VPN-Users
Enable Agentless VPN trên Fortigate
Ở cấu hình mặc, khi các bạn vào menu VPN thì với phiên bản 7.6 trở lên sẽ chỉ có Menu để cấu hình IPSec VPN. Để cấu hình Agentless thì chúng ta sẽ cần phải bật trong giao diện dòng lệnh.
Các bạn bấm vào biểu dấu nhắc lệnh phía trên này để truy cập vào CLI
Gõ lệnh config system global
Bật Agentless VPN bằng lệnh set sslvpn-web-mode enable
Gõ end để thoát ra và áp dụng lệnh
Sau đó vào config system settings
Bật giao diện web cho VPN bằng lệnh set gui-sslvpn enable
Các bạn có thể kiểm tra bằng lệnh show trong cùng mode này, nếu đã cấu hình rồi thì câu lệnh sẽ hiển thị ở đây.
Để áp dụng lệnh thì các bạn gõ lệnh end, nếu các bạn tắt CLI trong khi vẫn đang ở mode này thì câu lệnh sẽ không được thực thi nhé, cần phải end ra trước khi tắt CLI.
Bây giờ thì trong menu VPN sẽ có thêm 2 sub menu để cấu hình Agentless VPN. Về cơ bản thì giao diện cấu hình và cách sử dụng của Agentless VPN giống hệt như SSL VPN Web mode, không có gì khác biệt.
Cấu hình Agentless VPN
Đầu tiên các bạn vào menu Agentless VPN Portals
Ở đây mặc định có 1 số portal mặc định tương tự như SSL VPN, tuy nhiên thì tất cả các tunnel chỉ hoạt động ở chế độ web mode, chứ không có tunnel mode như SSL VPN, cả 3 portal này đều có giao diện cấu hình hoàn toàn giống nhau, các bạn có thể tạo thêm để tuỳ chỉnh có từng dịch vụ. Mình sẽ edit web-access mặc định ở đây.
Tuỳ chọn Limit Users to One Agentless VPN Connection at a Time mặc định bị disable. Nếu được bật thì với 1 tài khoản user sẽ chỉ được chỉ được login trên 1 máy, nếu tài khoản này tiếp tục login trên máy khác thì sẽ báo lỗi và không truy cập được. Nếu các bạn tạo 1 tài khoản dùng chung thì cần tắt tuỳ chọn này đi, còn mỗi người 1 tài khoản thì nên bật.
Bên dưới có phần predefined bookmasks, các bạn có thể tạo sẵn để VPN client có thể truy cập luôn vào.
Chọn Create New.
Ở đây các bạn có thể tạo bookmasks cho các giao thức như HTTPS, FPT, SSH, TELNET… chúng ta sẽ tạo sẵn các dịch vụ nội bộ, khi người dùng truy cập VPN thì sẽ hiển thị sẵn, chỉ cần click vào là truy cập được luôn mà không phải cung cấp lại thông tin.
Các bạn có thể xem bảng này để xem cách cấu hình.
Với HTTPS thì chúng ta sẽ nhập các URL vào, ví dụ các bạn có các website nội bộ, hoặc các dịch vụ truy cập vào qua HTTPS thì chúng ta sẽ tạo sẵn bookmask
Các giao thức FTP, SMB, SFTP sẽ cho phép nhập các đường dẫn đến thư mục share, ví dụ như các bạn có thiết bị lưu trữ NAS trong mạng thì sẽ sử dụng các giao thức này
RDP là remote destop
Tuỳ vào việc phân quyền truy cập, các bạn có thể tạo nhiều portal và cho phép các user thuộc 1 group nhất định được truy cập vào các dịch vụ nhất định.
Ví dụ mình sẽ tạo bookmask là HTTPS
Website là cnttshop.vn
Mình sẽ tạo thêm bookmask cho SSH và switch core
Host thì Fortinet có hiển thị mẫu ở đây, các bạn nhập user@ ip của switch:port của ssh, mặc định thì sẽ là 22
Về cơ bản thì các dịch vụ fortinet đều có gợi ý cú pháp cho các thông tin chính để truy cập rồi, còn các thông tin phụ thì các bạn tuỳ chỉnh theo yêu cầu hoặc để mặc định.
Riêng phần thư mục share như FTP, SFTP, SMB thì chúng ta sẽ nhập là IP/folder, ví dụ 10.0.0.100/ABC thôi, không có gì phức tạp.
Forticlient download thì các bạn không cần bật, vì Agentless chỉ sử dụng web để truy cập thôi, tuỳ chọn này có thể là của SSL VPN ngày trước.
Còn các mục khác thì các bạn có thể để mặc định, lát nữa kết nối vào portal thì mình sẽ giải thích các option này sau.
Nhấn OK để lưu.
Chuyển sang menu Agentless VPN Settings
Status chọn Enable
Listen on Interface chọn cổng WAN sẽ sử dụng IP để VPN.
Mục Listen on Port, các bạn nhập cổng cho VPN, mặc định sẽ là 443, nhưng port này sẽ trùng với port quản trị firewall, do vậy các bạn có thể thay đổi sang port khác bất kỳ, khi truy cập thì sẽ có cú pháp như bên dưới. trong đó IP sẽ là IP cổng WAN mà các bạn đã chọn ở trên. Port thì các bạn có thể sử dụng bất cứ cổng nào đang chưa được sử dụng trong mạng, từ 1 đến 65535.
Certificate thì nếu các bạn đã mua thì có thể upload lên để sử dụng, còn không thì có thể sử dụng default của Fortigate.
Restrict Access thì các bạn chọn Allow access from any host để mọi host đều có thể truy cập được, do người dùng kết nối VPN có thể ở mọi nơi, còn nếu các bạn chỉ muốn 1 số địa chỉ IP nhất định mới có thể VPN thì chúng ta sẽ chọn Limit Access to specific hosts, sau đó nhập IP WAN của VPN Client vào mục Hosts. Tuy nhiên các bạn cần lưu ý để giới hạn thì VPN client cần có IP WAN là IP tĩnh nhé.
Client Certificate thì các bạn nên tắt đi, chúng ta chỉ bật trong trường hợp các bạn có mua SSL Certificate riêng cho doanh nghiệp, và các bạn đã import vào firewall cũng như cài trên máy Client thôi nhé.
Phần Language mặc định là Browser preference, nghĩa là ngôn ngữ khi truy cập vào VPN sẽ lấy theo trình duyệt web của VPN Client, còn nếu chọn System thì ngôn ngữ của VPN portal sẽ lấy theo firewall.
Phần Authentication/Portal Mapping để chúng ta phân quyền truy cập cho Users, nghĩa là user nào được phép truy cập vào portal nào.
Mặc định All Other Users/Groups, nếu các bạn mapping 1 portal vào thì các user có trên firewall sẽ được truy cập vào portal đó nếu có trong policy.
Còn các bạn muốn chỉ các VPN Users chỉ định mới được phép truy cập vào Agentless VPN thì các bạn nên tạo mới, còn All Other Users/Groups ở đây chúng ta sẽ tạo thêm 1 portal khác không có thông tin gì.
Chọn Create New.
Users Group chọn Agentless VPN Users đã tạo.
Portal chọn web access vì mình vừa edit portal này.
Các bạn có thể tạo nhiều User Groups và Portals khác nhau để thiết lập các chính sách khác nhau cho từng nhóm users nếu muốn.
Sau khi tạo xong thì nhấn Apply
Cấu hình firewall Policy
Cuối cùng chúng ta sẽ phải cấu hình Firewall policy để cho phép VPN Client có thể truy cập vào dịch vụ trong LAN.
Chuyển sang menu Policy & Objects
Firewall Policy
Chọn Create New
Name mình sẽ đặt là Agentless VPN to LAN
Schedule chọn always để kết nối VPN toàn thời gian, hoặc nếu các bạn muốn Client chỉ được kết nối VPN trong thời gian hành chính, thì các bạn sẽ tạo thêm các schedule, ví dụ từ thứ 2 đến thứ 6, thời gian từ 8 giờ đến 17 giờ chẳng hạn.
Action chọn Accept
Type chọn Standard
Incoming chọn Agentless VPN interface
Outgoing chọn cổng LAN mà các bạn muốn VPN Client có thể truy cập vào.
Source chọn ALL vì client sẽ từ hướng Internet vào.
User Group chọn Agentless-VPN-Users Group .
Destination sẽ là các dải LAN nội bộ có trên Outgoing Interface mà các bạn chọn ở phía trên. Các bạn muốn VPN được truy cập vào những máy nào trong LAN thì sẽ tạo các address tương ứng, hoặc nếu muốn cho phép truy cập vào tất cả LAN thì chọn ALL, hoặc tạo theo network đều được.
Tương tự Service chọn All hoặc chọn 1 số dịch vụ cho phép nhất định.
NAT thì các bạn bật hay tắt đều được, nó sẽ liên quan đến phần source IP khi các bạn monitor các traffic thôi, thông thường thì nên tắt phần này đi.
Các chính sách bảo mật thì các bạn bật tuỳ nhu cầu.
Nhấn OK để tạo.
Nếu các bạn có nhiều cổng LAN thì các bạn sẽ tạo thêm các policy tương ứng cho các cổng LAN đó, hoặc nếu các bạn muốn chia theo group, ví dụ group kỹ thuật được vào các IP ABC, group sale được vào các IP DEF chẳng hạn thì chúng ta sẽ tách các policy như vậy
User/group chọn group của kỹ thuật, còn destination sẽ chọn các IP ABC, đơn giản vậy thôi.
Test kết nối
Sau khi cấu hình xong, để truy cập VPN thì các bạn vào địa chỉ IP WAN: port đã cấu hình bằng HTTPS là được, các bạn có thể copy trong menu Agentless Settings.
Đăng nhập bằng tài khoản VPN đã tạo
Đây là giao diện của Agentless VPN
Phía trên này là thanh công cụ để kết nối với dịch vụ. Các bạn chọn loại dịch vụ tương ứng và nhấn Launch Now là sẽ kết nối được.
Bên dưới này là các Bookmark mà các bạn đã tạo sẵn để truy cập nhanh, với các dịch vụ tạo sẵn thì các bạn chỉ cần nhấn vào là sẽ kết nối được. Chúng ta sẽ tạo sẵn toàn bộ các dịch vụ có trong LAN để VPN client có thể dễ dàng truy cập vào.
Ngoài ra thì Client cũng có thể tự tạo bookmark riêng cho mình. Giao diện tạo thì cũng tương tự như trên firewall, chúng ta nhập đủ thông tin để truy cập là được.
Mình sẽ quay lại 1 số tuỳ chọn trong portal để các bạn có thể tuỳ chỉnh theo ý mình.
Portal Message chính là dòng chữ hiển thị phía trên này, các bạn có thể nhập tuỳ ý.
Phần theme này là giao diện mặc định khi vào thôi, client cũng có thể tuỳ chỉnh trên giao diện portal.
Default Protocol này là giao thức hiển thị mặc định trên thanh quick connection này. Các bạn có thể sửa về giao thức mà các bạn hay sử dụng khi kết nối vào LAN.
Ví dụ các bạn sử dụng để truy cập quản trị thiết bị thì có thể chọn SSH mặc định để SSH vào các thiết bị switch, router…
Show Session Information sẽ hiển thị các thông tin về download, upload và thời gian kết nối VPN phía trên này.
Show Connection Launcher sẽ hiện thì thanh quick connection ở đây, nếu tắt đi thì người dùng sẽ truy cập bằng bookmask có sẵn.
User Bookmarks nếu bật thì sẽ cho phép client tạo bookmark riêng của họ họ, còn nếu tắt đi thì client sẽ chỉ truy cập được vào bookmark mà các bạn đã tạo.
Ví dụ các bạn chỉ muốn client chỉ truy cập được vào các dịch vụ mà các bạn đã tạo sẵn, ngoài ra không truy cập được các dịch vụ khác, thì chúng ta sẽ tắt phần connection launcher, user bookmarks đi, và bật predefined bookmarks lên. Đơn giản vậy thôi.
Còn các phần khác thì không có gì.
Quan trọng là các bạn định nghĩa đúng về đường dẫn để truy cập vào dịch vụ thôi.
Kết luận
Với Agentless VPN trên Fortigate, doanh nghiệp của bạn có thể cung cấp kết nối an toàn cho nhân viên ở bất cứ đâu mà không cần cài đặt thêm phần mềm phức tạp. Người dùng chỉ cần trình duyệt web để truy cập ngay vào các ứng dụng và dữ liệu nội bộ đã được phân quyền.
Giải pháp này giúp giảm chi phí quản lý, rút ngắn thời gian triển khai, đồng thời vẫn đảm bảo bảo mật cao nhất. Đây là lựa chọn lý tưởng cho các tổ chức muốn mang lại trải nghiệm truy cập đơn giản, linh hoạt nhưng vẫn an toàn tuyệt đối.
=> Liên hệ ngay với chúng tôi để được tư vấn và trải nghiệm giải pháp Fortigate Agentless VPN, giúp doanh nghiệp bạn bứt phá trong kỷ nguyên làm việc từ xa!
Tham khảo ngay các dòng firewall Fortigate chính hãng tại CNTTShop, đầy đủ model và license, giúp bạn dễ dàng lựa chọn giải pháp phù hợp cho doanh nghiệp. Với sản phẩm phân phối chính hãng, bạn luôn yên tâm về chất lượng, bảo hành và dịch vụ hỗ trợ tận tâm.
Bình luận bài viết!