Hướng dẫn cấu hình IPsec VPN và FortiClient

Lưu ý: Hướng dẫn này áp dụng với các thiết bị đang chạy phiên bản FortiOS 5.4. Với các phiên bản OS thấp hoặc cao hơn, các bước thực hiện có 1 vài thay đổi.

Bài Viết này hướng dẫn các bạn cài đặt VPN-IPsec để cung cấp cho 1 nhóm người dùng từ xa quyền truy cập được mã hóa và an toàn vào mạng nội bộ của công ty.

IPsec VPN cung cấp cho các thành viên trong nhóm quyền truy cập vào mạng nội bộ (Internal network) nhưng bắt buộc phải đi qua Firewall Fortigate . Khi cấu hình VPN xong các bạn sẽ kết nối đến mạng nội bộ bằng ứng dụng FortiClient

Theo như sơ đồ phía trên ta sẽ có các bước thực hiện như sau:

  • Tạo User và Group
  • Tạo địa chỉ mạng LAN nội bộ
  • Cấu hình IPsec VPN Wizard
  • Tạo Policy
  • Cấu hình Forticlient
  •  Kiểm tra kết quả

1.Tạo User và Group cho người dùng VPN.

Chọn User & Device > User Definition,tạo một tài khoản Local User cho VPN user.

  • Chọn Local User và bấm next.
  • Các bạn tiến hành các bước tiếp theo hướng dẫn và cẩn thận nhập thông tin thích hợp.

Sau khi tạo xong các user,  các bạn vào User & Device > User Groups để tạo User Group cho VPN User và add user đã tạo ở bước trên vào group.

2. Tạo dải địa chỉ mạng Lan nội bộ:

Bấm vào Policy & Objects > Addresses .

  • Tạo địa chỉ cho mạng Lan được VPN- IPsec vào.

3. Cấu hình IPsec VPN Wizard:

Bấm chọn VPN > IPSec > Wizard.

Đầu tiên các bạn chọn :

  • Template Type là Remote Access và Remote Device Type là FortiClient VPN…

Tiếp theo các bạn chọn:

  • Incoming Interface : Cổng gán địa chỉ để IPsec-VPN kết nối đến và là cổng để ra Internet.
  • Nhập Preshare Key và chọn User group đã tạo trước đó.

Sau khi nhập Preshare Key và User group các bạn nhấn next để qua bước tiếp theo:

  • Local Interface: là mạng lan các bạn muốn VPN đến.
  • Local Address : Là dãy địa chỉ của mạng lan bạn đã tạo ở bước trên.
  • Client Address Range : Dải địa chỉ cấp phát cho VPN Client.

Chọn Next và tích vào tùy chọn mong muốn. Sau đó nhấn Create và xem lại các thông tin VPN tunnel đã tạo.

4. Khởi tạo Policy cho phép VPN User truy cập Internet.

Chọn Policy & Objects > IPv4 Policy .

  • tạo 1 chính sách bảo mật cho phép người dùng từ xa truy cập internet thồn qua Fortigate một cách an toàn.

5. Cài đặt Forticlient

* Các bạn có thể download và cài đặt FortiClient tại trang chủ: forticlient.com

Mở FortiClient, vào Remote Access và tạo một kết nối mới.

  • Nhập các thông tin để khởi tạo kết nối.

  • Chọn kết nối IPsec-VPN cần kết nối, nhập username và password, click Connect.

6.Kiểm tra kết quả.

Kết nối thành công.

  • Khi kết nối được thiết lập, Fortigate gán cho người dùng 1 địa chỉ IP 
  • FortiClient: hiện thị toàn bộ thông số về địa chỉ IP , thời lượng kết nối và Bytes đã gửi và nhận.

Quay lại Fortigate , vào Monitor > IPsec Monitor, ta thấy status của tunnel là up thì việc kết nối đã thành công.

Đến đây chúng ta đã hoàn tất quá trình cài đặt IPsec VPN. Từ bây giờ chúng ta có thể remote từ xa với giao thức IPSEC. Với ưu điểm ổn định trong kết nối và rất dễ dàng cài đặt.

Bình luận bài viết!

Có 5 bình luận:
N
Nhân
Bytes Received : 0 nguyên nhân và cách khắc phục
8 ngày
V
Quang VinhQuản trị viên

Chào bạn,

Sau khi client kết nối VPN mà card mạng báo không có gói dữ liệu gửi đến (Bytes Received : 0) do firewall fortingate đang chặn, bạn kiểm tra lại các policy của VPN nhé.

T
Anh Tùng
Chào ad,em muốn truy cập vào router fortinet từ xa thông qua web thì có được không ạ?
18 ngày
C
CNTTShopAdmin

Có 1 số cách để anh có thể truy cập vào thiết bị qua giao diện web:

- Nếu anh có địa chỉ IP WAN tĩnh thì anh có thể bật tính năng https trên cổng WAN để truy cập thông qua IP WAN (không khuyến nghị). Nếu bật tính năng này anh nên giới hạn các địa chỉ IP được phép truy cập vào thiết bị. Hoặc anh có thể tạo VPN remote access để truy cập.

- Nếu không có IP tĩnh, anh có thể cấu hình DDNS để sử dụng cho dịch vụ HTTPS hoặc VPN.

h
hongnghia
sao mình kết nối nó báo thành công mà vẫn ko truy cập được
1 tháng
V
Quang VinhQuản trị viên

Chào bạn,

Sau khi kết nối thành công mà không truy cập được thì bạn cần kiểm tra lại policy, bao gồm policy ra internet và policy kết nối đến mạng nội bộ. Bạn chưa truy cập được đến đâu thì kiểm tra lại policy tương ứng ạ.

h
hongnghia
Local Address : Là dãy địa chỉ của mạng lan bạn đã tạo ở bước trên. Client Address Range : Dải địa chỉ cấp phát cho VPN Client. A/C cho em hỏi phân biệt 2 cái này ạ . dãy địa chỉ mạng lan đã tạo bước trên thuộc , là chon cái nào ạ
1 tháng
V
Quang VinhQuản trị viên

Chào bạn,

Local Address: Ở đây là 1 hoặc tất cả dải mạng LAN  mà bạn sẽ cho phép VPN Client kết nối đến

Client Address Range: Sau khi kết nối VPN thành công, Client sẽ nhận IP thuộc dải này.

b
binh
anh chị cho em hỏi, mấy bài lab nat,vpn của fortigate os5.4, em làm trên ios 7.0.1 của file ảnh vmware, có chạy test được không ạ, em muốn test trước mà hình như không chạy ạ. cám ơn anh chị!
2 tháng
C
CNTTShopAdmin

Bạn có thể thực hiện bài lab tương tự trên phiên bản 7.0.1 nhé. Các phiên bản khác nhau chủ yếu khác về giao diện, còn các bước thực hiện thì vẫn tương tự nhau.

hệ thống website: cnttshop.com

CNTTShop.vn là Premium Distributor của hãng Allied Telesis và là Đối Tác của Cisco Systems VN.
Copyright @ 2015-2021 | Viet Sun Technology Co., Ltd | Nghiêm cấm tái bản khi chưa được cho phép bằng văn bản