Hướng dẫn cấu hình IPsec VPN và FortiClient
Lưu ý: Hướng dẫn này áp dụng với các thiết bị đang chạy phiên bản FortiOS 5.4. Với các phiên bản OS thấp hoặc cao hơn, các bước thực hiện có 1 vài thay đổi.
Với các phiên bản cao hơn, các bạn có thể tham khảo bài viết: Hướng dẫn cấu hình VPN Remote Access (Client to Site) Fortigate.
Bài Viết này hướng dẫn các bạn cài đặt VPN-IPsec để cung cấp cho 1 nhóm người dùng từ xa quyền truy cập được mã hóa và an toàn vào mạng nội bộ của công ty.
IPsec VPN cung cấp cho các thành viên trong nhóm quyền truy cập vào mạng nội bộ (Internal network) nhưng bắt buộc phải đi qua Firewall Fortigate . Khi cấu hình VPN xong các bạn sẽ kết nối đến mạng nội bộ bằng ứng dụng FortiClient
Theo như sơ đồ phía trên ta sẽ có các bước thực hiện như sau:
- Tạo User và Group
- Tạo địa chỉ mạng LAN nội bộ
- Cấu hình IPsec VPN Wizard
- Tạo Policy
- Cấu hình Forticlient
- Kiểm tra kết quả
1.Tạo User và Group cho người dùng VPN.
Chọn User & Device > User Definition,tạo một tài khoản Local User cho VPN user.
- Chọn Local User và bấm next.
- Các bạn tiến hành các bước tiếp theo hướng dẫn và cẩn thận nhập thông tin thích hợp.
Sau khi tạo xong các user, các bạn vào User & Device > User Groups để tạo User Group cho VPN User và add user đã tạo ở bước trên vào group.
2. Tạo dải địa chỉ mạng Lan nội bộ:
Bấm vào Policy & Objects > Addresses .
- Tạo địa chỉ cho mạng Lan được VPN- IPsec vào.
3. Cấu hình IPsec VPN Wizard:
Bấm chọn VPN > IPSec > Wizard.
Đầu tiên các bạn chọn :
- Template Type là Remote Access và Remote Device Type là FortiClient VPN…
Tiếp theo các bạn chọn:
- Incoming Interface : Cổng gán địa chỉ để IPsec-VPN kết nối đến và là cổng để ra Internet.
- Nhập Preshare Key và chọn User group đã tạo trước đó.
Sau khi nhập Preshare Key và User group các bạn nhấn next để qua bước tiếp theo:
- Local Interface: là mạng lan các bạn muốn VPN đến.
- Local Address : Là dãy địa chỉ của mạng lan bạn đã tạo ở bước trên.
- Client Address Range : Dải địa chỉ cấp phát cho VPN Client.
Chọn Next và tích vào tùy chọn mong muốn. Sau đó nhấn Create và xem lại các thông tin VPN tunnel đã tạo.
4. Khởi tạo Policy cho phép VPN User truy cập Internet.
Chọn Policy & Objects > IPv4 Policy .
- tạo 1 chính sách bảo mật cho phép người dùng từ xa truy cập internet thồn qua Fortigate một cách an toàn.
5. Cài đặt Forticlient
* Các bạn có thể download và cài đặt FortiClient tại trang chủ: forticlient.com
Mở FortiClient, vào Remote Access và tạo một kết nối mới.
- Nhập các thông tin để khởi tạo kết nối.
- Chọn kết nối IPsec-VPN cần kết nối, nhập username và password, click Connect.
6.Kiểm tra kết quả.
Kết nối thành công.
- Khi kết nối được thiết lập, Fortigate gán cho người dùng 1 địa chỉ IP
- FortiClient: hiện thị toàn bộ thông số về địa chỉ IP , thời lượng kết nối và Bytes đã gửi và nhận.
Quay lại Fortigate , vào Monitor > IPsec Monitor, ta thấy status của tunnel là up thì việc kết nối đã thành công.
Đến đây chúng ta đã hoàn tất quá trình cài đặt IPsec VPN. Từ bây giờ chúng ta có thể remote từ xa với giao thức IPSEC. Với ưu điểm ổn định trong kết nối và rất dễ dàng cài đặt.
Switch
.png){kind=icon}
.png){kind=logo}
.jpg)
.png){kind=logo}
![[FortiOS 5.6] Hướng dẫn cấu hình HA trên Firewall Fortigate](https://cnttshop.vn//storage/bai%20viet/Fortinet/HA/HA-min.jpg "[FortiOS 5.6] Hướng dẫn cấu hình HA trên Firewall Fortigate")
![[FortiOS 5.6] Hướng dẫn cấu hình cơ bản trên Firewall Fortigate](https://cnttshop.vn//storage/images/tin-tuc/tin-tuc/cau-hinh-co-ban-firewall-fortigate.jpg "[FortiOS 5.6] Hướng dẫn cấu hình cơ bản trên Firewall Fortigate")
![[FortiOS 5.6] Cấu hình Load Balancing trên Fortinet sử dụng SDWAN](https://cnttshop.vn//storage/bai%20viet/Fortinet/SDWAN/cau%20hinh%20load%20balancing-min.jpg "[FortiOS 5.6] Cấu hình Load Balancing trên Fortinet sử dụng SDWAN")
![[FortiOS 5.4] Hướng dẫn update firmware Firewall Fortigate](https://cnttshop.vn//storage/bai%20viet/Fortinet/updatefirmware/cau%20hinh%20co%20ban%20fortigate-min-min.jpg "[FortiOS 5.4] Hướng dẫn update firmware Firewall Fortigate")
![[FortiOS 5.4] Cấu hình Web Filtering - Block 1 website (Facebook, Youtube...)](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude.PNG "[FortiOS 5.4] Cấu hình Web Filtering - Block 1 website (Facebook, Youtube...)")
![[FortiOS 5.4] Cấu hình Web Filtering - Block 1 đề mục trên Website.](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-1-min.png "[FortiOS 5.4] Cấu hình Web Filtering - Block 1 đề mục trên Website.")
![[FortiOS 5.4] Cấu hình Web Filtering - Block tìm kiếm với từ khóa](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-min-3.PNG "[FortiOS 5.4] Cấu hình Web Filtering - Block tìm kiếm với từ khóa")
![[FortiOS 5.4] Cấu hình Web Filtering - Block các web bằng FortiGuard Web Filtering](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-phan4-min.png "[FortiOS 5.4] Cấu hình Web Filtering - Block các web bằng FortiGuard Web Filtering")
Bình luận bài viết!
Bạn tích chọn Enable Split Tunnel là được nhé
Bạn bật phần này lên thì client sẽ truy câp internet bằng WAN của họ.
Bạn tạo thêm 1 policy từ VPN sang LAN 2 172.10.100.x là được nhé. Nếu phiên bản firmware từ 7. trở lên thì sẽ cho phép bạn add nhiều VLAN cùng lúc vào VPN
Khi bạn cấu hình theo VPN wizard thì firewall sẽ tạo sẵn Policy để ping tới LAN rồi bạn nhé. Bạn có thể xem tên policy trong phần View các thông số VPN, hoặc tìm trong policy. Tên thông thường của policy sẽ bao gồm tên mà bạn đặt cho VPN.
Gateway Trong FortiClient là địa chỉ IP Public của firewall. Như trong hướng dẫn của mình thì nó là IP trên cổng WAN 1, do trong VPN mình đang cấu hình Incoming Interface là WAN 1