Hướng dẫn cấu hình Agentless VPN trên firewall Fortigate

Trong bài viết này, chúng ta sẽ cùng tìm hiểu Agentless VPN là gì và cách cấu hình Agentless VPN trên firewall Fortigate nhé.

Tổng quan về Agentless VPN trên Fortigate

Từ phiên bản FortiOS 7.6 trở lên thì SSL VPN sẽ không còn được hỗ trợ nữa, và sẽ được chuyển sang thành Agentless VPN. Nếu các bạn mua firewall mới và chạy phiên bản 7.6.3 trở lên, thì các bạn sẽ không tìm thấy các menu để cấu hình SSL VPN nữa.

Còn nếu các bạn đang sử dụng SSL VPN và nâng cấp lên phiên bản 7.6.3 trở lên, thì cấu hình SSL Tunnel cũng sẽ không được giữ lại và không hoạt động.

Các dòng firewall cứng hoặc ảo hoá có RAM thấp hơn 2G như 40F, 60F, 30G, 50G sẽ không hỗ trợ SSL VPN hoặc Agentless từ phiên bản 7.6.0

Một số dòng G mới như dòng 30G và 50G thì không hỗ trợ SSL kể cả các bạn sử dụng phiên bản thấp, do vậy thì nếu các bạn sử dụng firewall và không thấy menu cấu hình SSL VPN thì là do Firewall hoặc phiên bản firmware đó không hỗ trợ nữa. Lúc này thì chúng ta sẽ phải sử dụng Forticlient IPSec VPN, hoặc có loại VPN mới không cần dùng phần mềm Forticlient là Agentless VPN. Nếu vẫn muốn dung SSL VPN thì các bạn phải cài lại phiên bản thấp hơn.

SSL VPN sẽ có 2 loại là webmode, các bạn sẽ đăng nhập địa chỉ IP VPN trên web rồi sử dụng các dịch vụ cấu hình sẵn, còn tunnel mode là chúng ta sẽ sử dụng phần mềm FortiClient để kết nối. Về cơ bản thì Agentless VPN tương tự như SSL VPN Web mode, nghĩa là các bạn sẽ truy cập vào dịch vụ và tài nguyên mạng thông qua cổng xác thực web, và truy cập vào các tài nguyên đã được cấu hình sẵn. Còn với SSL VPN Tunnel mode, thì chúng ta sẽ phải chuyển sang sử dụng IPSec VPN trong các phiên bản mới.

Chúng ta sẽ sử dụng AgentLess VPN khi cần 1 giải pháp VPN trong đó máy client sẽ không phải cài đặt phần mềm gì, chỉ cần truy cập vào địa chỉ IP và đăng nhập tài khoản là xong. Bên cạnh đó chúng ta cũng kiểm soát chặt chẽ các dịch vụ cung cấp cho người dùng. Còn nếu cần kết nối người dùng với toàn bộ mạng LAN thì chúng ta sẽ sử dụng IPSec VPN.

Trong bài viết này thì mình sẽ hướng dẫn các bạn cấu hình Agentless VPN.

Cấu hình tài khoản VPN

Đầu tiên thì chúng ta sẽ cần phải tạo các Users và Users Group để truy cập vào VPN. Các Users này sẽ được sử dụng để đăng nhập vào VPN, còn Groups để nhóm các users có chung quyền vào, khi tạo policy hay VPN thì các bạn chỉ cần add groups vào, không cần phải add từng tài khoản VPN riêng lẻ.

Các bạn truy cập vào menu User & Authentication > User Groups, chọn Create new để tạo group mới.

Nhập các thông tin cho Group:

• Name: đặt tên cho VPN Group, mình sẽ đặt tên là AgentLess-VPN-Users để phân biệt với các dịch vụ khác.
• Type: chọn Firewall để sử dụng Users local tạo trên firewall, các bạn có thể sử dụng Users từ Radius, LDAP… đều được, tuy nhiên các bạn phải cấu hình Radius hoặc LDAP trước.
• Members: phần này chúng ta chưa cần chọn, khi tạo Users thì chúng ta sẽ add vào group sau.
• Nhấn OK để tạo.

Chuyển sang Menu User & Authentication > User Definition, chọn Create New để tạo tài khoản VPN.

Nhập các thông tin cho VPN User:

• Type: chọn Local User, hoặc chọn Radius, LDAP, TACACS user nếu các bạn xác thực tập trung, nhấn Next.
• Nhập user và password trong Login Credentials, nhấn Next.
• Xác thực 2 bước thì Fortigate chỉ hỗ trợ FortiToken, nếu sử dụng thì các bạn sẽ cần phải mua thêm FortiToken dạng cứng, hoặc mua license cloud. Nếu không có FortiToken thì các bạn sẽ tắt phần này đi.
• Trong phần Extra Info, chọn Enable User Group và chọn Group AgentLess-VPN-Users vừa tạo.
• Nhấn Submit để tạo VPN User.

Các bạn có thể tạo mỗi người 1 tài khoản, và add toàn bộ user này vào group AgentLess-VPN-Users nếu các Users này có chung chính sách bảo mật.

Enable Agentless VPN trên Fortigate

Ở cấu hình mặc, khi các bạn vào menu VPN thì với phiên bản 7.6  trở lên sẽ chỉ có Menu để cấu hình IPSec VPN.

Để cấu hình Agentless VPN thì chúng ta sẽ cần phải bật trong giao diện dòng lệnh.

Bây giờ thì trong menu VPN sẽ có thêm 2 sub menu để cấu hình Agentless VPN. Về cơ bản thì giao diện cấu hình và cách sử dụng của Agentless VPN giống hệt như SSL VPN Web mode, không có gì khác biệt.

Cấu hình Agentless VPN

Đầu tiên chúng ta sẽ thiết lập phần giao diện VPN Portals cho VPN Client, câc bạn truy cập vào menu VPN > Agentless VPN Portals.

Ở đây mặc định có 1 số portal mặc định tương tự như SSL VPN, tuy nhiên thì tất cả các tunnel chỉ hoạt động ở chế độ web mode, chứ không có tunnel mode như SSL VPN, cả 3 portal này đều có giao diện cấu hình hoàn toàn giống nhau, các bạn có thể tạo thêm để tuỳ chỉnh có từng dịch vụ. Mình sẽ edit web-access mặc định ở đây.

• Tuỳ chọn Limit Users to One Agentless VPN Connection at a Time mặc định bị disable. Nếu được bật thì với 1 tài khoản user sẽ chỉ được chỉ được login trên 1 máy, nếu tài khoản này tiếp tục login trên máy khác thì sẽ báo lỗi và không truy cập được. Nếu các bạn tạo 1 tài khoản dùng chung thì cần tắt tuỳ chọn này đi, còn mỗi người 1 tài khoản thì nên bật.
• Portal Message: nội dung dòng chữ hiển thị trên portal khi chúng ta đăng nhập vào, các bạn có thể nhập tên công ty chẳng hạn.
• Theme: chọn giao diện mặc định cho VPN Client, VPN Client cũng có thể tự tuỳ chỉnh được theme này khi sử dụng.
• Default Protocol: giao thức sẽ hiển thị mặc định trên thanh Quick Launch trong giao diện VPN Client, các bạn hay truy cập vào dịch vụ nào thì có thể cài đặt giao thức đó để hiển thị mặc định.
• Show Session Information: hiển thị thời gian kết nối, băng thông download/upload trong giao diện VPN Client.
• Show Connection Launcher: hiện thị thanh Quick Launcher trong giao diện VPN Client.
• User Bookmarks: nếu bật sẽ cho phép user tự tạo bookmark riêng của mình.
• Display predefined bookmarks: hiển thị các bookmarks mà các bạn đã tạo sẵn ở dưới.
• Predefined Bookmarks: tạo các bookmarks có sẵn để VPN Client có thể truy cập nhanh mà không cần cung cấp thông tin. Ví dụ các bạn có thể tạo sẵn các thư mục share, SSH, TELNET, hay Remote Desktop vào các máy chủ chẳng hạn. Chọn Create New để tạo mới Bookmarks, ví dụ mình sẽ tạo bookmarks cho website nội bộ.
  • 
  • Các loại khác thì cũng tương tự, thông thường FortiGate đã có sẵn cú pháp hiển thị, ví dụ SSH thì sẽ là user@hostname:port, trong đó hostname các bạn có thể nhập IP hoặc domain name đều được, còn port mặc định của SSH là 22. Riêng phần thư mục share như FTP, SFTP, SMB thì chúng ta sẽ nhập là IP/folder, ví dụ 10.0.0.100/ABC thôi, không có gì phức tạp.
• Forticlient Download thì các bạn không cần bật, vì Agentless chỉ sử dụng web để truy cập thôi, tuỳ chọn này có thể là của SSL VPN ngày trước.
• Nhấn OK để lưu.

Chuyển sang menu VPN > Agentless VPN Settings.

• Agentless VPN Status: chọn Enable.
• Listen on Interface(s): chọn cổng WAN sẽ sử dụng IP để VPN.
• Listen on Port: nhập cổng cho VPN, mặc định sẽ là 443, nhưng port này sẽ trùng với port quản trị firewall, do vậy các bạn có thể thay đổi sang port khác bất kỳ, khi truy cập thì sẽ có cú pháp như bên dưới, trong đó IP sẽ là IP cổng WAN mà các bạn đã chọn ở trên. Port thì các bạn có thể sử dụng bất cứ cổng nào đang chưa được sử dụng trong mạng, từ 1 đến 65535.
• Certificate: thì nếu các bạn đã mua thì có thể upload lên để sử dụng, còn không thì có thể sử dụng default của Fortigate.
• Restrict Access: thì các bạn chọn Allow access from any host để mọi host đều có thể truy cập được, do các host này chính là IP WAN của VPN Clients, còn nếu các bạn chỉ muốn 1 số địa chỉ IP nhất định mới có thể VPN thì chúng ta sẽ chọn Limit Access to specific hosts, sau đó nhập IP WAN của VPN Client vào mục Hosts. Tuy nhiên các bạn cần lưu ý để giới hạn thì VPN client cần có IP WAN là IP tĩnh nhé.
• Client Certificate: các bạn nên tắt đi, chúng ta chỉ bật trong trường hợp các bạn có mua SSL Certificate riêng cho doanh nghiệp, và các bạn đã import vào firewall cũng như cài trên máy Client thôi nhé.
• Language: mặc định là Browser preference, nghĩa là ngôn ngữ khi truy cập vào VPN sẽ lấy theo trình duyệt web của VPN Client, còn nếu chọn System thì ngôn ngữ của VPN portal sẽ lấy theo firewall.
• Phần Authentication/Portal Mapping để chúng ta phân quyền truy cập cho Users, nghĩa là user nào được phép truy cập vào portal nào. Mặc định All Other Users/Groups, các bạn sẽ map vào  portal đã edit ở trên. Còn các bạn muốn phân quyền truy cập vào các portal khác nhau thì chúng ta sẽ tạo nhiều Portal và nhiều User Group để map các Users Groups vào Portal nhất định.
• Sau khi tạo xong thì nhấn Apply.

Cấu hình Firewall Policy

Cuối cùng chúng ta sẽ phải cấu hình Firewall Policy để cho phép VPN Client có thể truy cập vào dịch vụ trong LAN. Chuyển sang menu Policy & Objects > Firewall Policy, chọn Create New.

• Name: mình sẽ đặt là Agentless VPN to LAN.
• Schedule: chọn always để kết nối VPN Client có thể kết nối toàn thời gian, hoặc nếu các bạn muốn Client chỉ được kết nối VPN trong thời gian hành chính, ví dụ từ thứ 2 đến thứ 6, thời gian từ 8 giờ đến 17 giờ chẳng hạn, thì các bạn sẽ tạo thêm các schedule tương ứng.
• Action: chọn Accept.
• Type: chọn Standard.
• Incoming: chọn Agentless VPN interface.
• Outgoing: chọn cổng LAN mà các bạn muốn VPN Client có thể truy cập vào.
• Source: chọn ALL vì client sẽ từ hướng Internet vào.
• User/group: chọn Agentless-VPN-Users Group đã tạo cho VPN Clients.
• Destination: sẽ là các dải LAN nội bộ có trên Outgoing Interface mà các bạn chọn ở phía trên. Các bạn muốn VPN được truy cập vào những máy nào trong LAN thì sẽ tạo các address tương ứng, hoặc nếu muốn cho phép truy cập vào tất cả LAN thì chọn ALL, hoặc tạo theo network đều được.
• Service: chọn All hoặc chọn 1 số dịch vụ cho phép nhất định, ví dụ HTTPS, FPT, RDP...
• NAT thì các bạn bật hay tắt đều được, nó sẽ liên quan đến phần source IP khi các bạn monitor các traffic thôi, thông thường thì nên tắt phần này đi.
• Các chính sách bảo mật như lọc apps, lọc web, thì các bạn bật tuỳ nhu cầu.
• Nhấn OK để tạo.

Nếu các bạn có nhiều cổng LAN thì các bạn sẽ tạo thêm các policy tương ứng cho các cổng LAN đó, hoặc nếu các bạn muốn chia theo group, ví dụ group kỹ thuật được vào các IP ABC, group sale được vào các IP DEF chẳng hạn thì chúng ta sẽ tách các policy như vậy.

Kết nối VPN

Sau khi cấu hình xong, để truy cập VPN thì các bạn vào địa chỉ IP_WAN:port đã cấu hình bằng HTTPS là được, các bạn có thể copy trong menu Agentless Settings. Đăng nhập bằng tài khoản VPN đã tạo.

Các bạn sẽ truy cập được vào giao diện của Agentless VPN Portal, tại đây, chúng ta có thể truy cập vào các dịch vụ trong LAN bằng cách nhập thông tin trong Quick Connection, hoặc truy cập vào dịch vụ đã định nghĩa sẵn bằng Bookmarks.

Các bạn có thể tuỳ chỉnh dựa theo nhu cầu của mình. Ví dụ: các bạn chỉ muốn VPN Client truy cập được các dịch vụ mà các bạn đã định nghĩa, ngoài ra không truy cập được các dịch vụ khác, thì chúng ta sẽ disable các tuỳ chọn Show Connection Launcher, User Bookmarks đi, và enable Display predefined bookmarks lên. Khi đó trên giao diện Agentless sẽ chỉ hiển thị Predefined Bookmarks.

Kết luận

Với Agentless VPN trên Fortigate, doanh nghiệp của bạn có thể cung cấp kết nối an toàn cho nhân viên ở bất cứ đâu mà không cần cài đặt thêm phần mềm phức tạp. Người dùng chỉ cần trình duyệt web để truy cập ngay vào các ứng dụng và dữ liệu nội bộ đã được phân quyền.

Giải pháp này giúp giảm chi phí quản lý, rút ngắn thời gian triển khai, đồng thời vẫn đảm bảo bảo mật cao nhất. Đây là lựa chọn lý tưởng cho các tổ chức muốn mang lại trải nghiệm truy cập đơn giản, linh hoạt nhưng vẫn an toàn tuyệt đối.

=> Liên hệ ngay với chúng tôi để được tư vấn và trải nghiệm giải pháp Fortigate Agentless VPN, giúp doanh nghiệp bạn bứt phá trong kỷ nguyên làm việc từ xa!

Tham khảo ngay các dòng firewall Fortigate chính hãng tại CNTTShop, đầy đủ model và license, giúp bạn dễ dàng lựa chọn giải pháp phù hợp cho doanh nghiệp. Với sản phẩm phân phối chính hãng, bạn luôn yên tâm về chất lượng, bảo hành và dịch vụ hỗ trợ tận tâm.