Hướng dẫn cấu hình ADVPN Hub-and-Spoke trên Firewall Fortigate
Trong bài viết này, mình sẽ hướng dẫn các bạn cấu hình ADVPN Hub-and-Spoke trên Firewall Fortigate.
VPN Hub-and-Spoke là gì?
Hub-and-Spoke là 1 dạng VPN trong đó chúng ta sẽ có 1 thiết bị trung tâm đóng vai trò là Hub. Hub sẽ kết nối VPN tới nhiều remote peer từ xa đóng vai trò là Spoke. Trong mô hình này thì chúng ta sẽ có nhiều Spoke, các Spoke sẽ chỉ kết nối VPN tới Hub, và traffic giữa các Spoke đều được chuyển qua Hub.
Trên Fortigate hiện tại với phiên bản mới, nếu các bạn cấu hình VPN Hub-and Spoke thì nó sẽ là Auto Discovery VPN (ADVPN). Loại VPN này sẽ cho phép Hub thông báo cho các Spoke về tuyến đường tốt hơn cho lưu lượng giữa 2 Spoke, nên traffic giữa các Spoke sẽ không cần phải đi qua Hub nữa.
Mô hình kết nối
Mình đang dựng 1 mô hình Lab đơn giản gồm 3 Firewall Fortigate sử dụng phiên bản OS 7.0, IP WAN thì mình sử dụng 1 switch Layer 2 để giả lập, do vậy thì cả 3 Firewall đều có IP cùng dải. Trong các mô hình khác thì các bạn cũng chỉ cần cấu hình routing sao cho các Firewall có thể ping được đến các IP WAN là được. Bên dưới mỗi firewall mình cấu hình 1 mạng LAN sẽ là LAN local cho VPN và để test kết nối.
Cấu hình VPN Hub-and-Spoke trên Fortigate
Các phần cấu hình IP, routing, policy mình đều đã làm xong, hiện tại các máy tính nội bộ đều đã có thể ping được ra các IP wan. Giờ mình sẽ cấu hình VPN Hub-and-Spoke để kết nối các site này.
Cấu hình trên Hub
Trước tiên các bạn nên cấu hình Firewall đóng vai trò là Hub trước. Truy cập vào Menu VPN > IPSec Wizard.
- Đặt tên cho VPN tunnel ở mục Name
- Template type chọn Hub-and-Spoke
- Sau đó chọn Role là Hub
Incoming Interface chọn cổng WAN trong mô hình của các bạn và nhập Pre-shared key cho VPN tunnel.
Mục Tunnel IP và Remote IP này là IP 2 đầu VPN Tunnel, các bạn có thể đổi sang dải khác nếu đang trùng với dải IP nội bộ nhé, mình sẽ để IP là dải 10.10.1.0
VPN Hub-and-Spoke sẽ sử dụng các phiên iBGP để trao đổi bảng định tuyến giữa các site, các bạn thiết lập các thông số cho iBGP này
- Local interface chọn cổng LAN
- Spoke type chọn Individual
- Sau đó nhập IP của VPN Tunnel cho các Spoke ở bên dưới, mình đang có 2 Spoke nên mình sẽ tạo 2 IP ở đây.
Chọn Create để tạo VPN.
Sau khi nhấn Create thì Fortigate sẽ tạo cho chúng ta 2 Spoke Easy Configuration Key bên dưới, các bạn copy lại để add vào Spoke nhé. Config Key này sẽ bao gồm 1 số cấu hình VPN mà chúng ta đã thiết lập trên Hub để chúng ta có thể dễ dàng thiết lập trên Spoke.
Như vậy là trên Hub đã xong, giờ mình sẽ cấu hình trên Spoke.
Cấu hình trên Spoke
Trên Spoke thì các bạn cấu hình tương tự như trên Hub. Truy cập vào Menu VPN > IPSec Wizard. Mục Role các bạn chọn là Spoke, sau đó dán config key mà các bạn vừa copy ở Hub và nhấn Apply.
Khi đó thì 1 số cấu hình VPN Tunnel sẽ tự động áp dụng vào. Các bạn có thể tự thiết lập cũng được, nhưng phải đảm bảo cấu hình các thông số chính xác theo mô hình. Chúng ta nên sử dụng config key để giảm sai sót trong quá trình cấu hình.
Nhập Pre-shared key vào.
Khi sử dụng Config key thì IP trên tunnel sẽ tự động add vào theo các thông số mà các bạn thiết lập trên Hub.
Chọn cổng LAN và Local Subnets cho VPN tunnel.
Xem lại các cấu hình VPN và chọn Create.
Kiểm tra VPN Status
Sau khi cấu hình xong, các bạn quay lại Hub để kiểm tra. Truy cập vào menu VPN > IPsec Tunnels. VPN tunnel của mình đã UP với 2 dialup connection là 2 Spoke.
Fortigate cũng đã tạo sẵn cho chúng ta 2 Policy, các bạn có thể sửa các policy này theo nhu cầu của mình nhé.
Add thêm Spoke mới vào VPN
Cấu hình VPN Hub-and-Spoke chỉ đơn giản vậy thôi, nếu các bạn cần add thêm Spoke thì chỉ cần edit VPN trên Hub rồi add thêm Spoke vào là được. Trên Hub, các bạn chọn VPN Tunnel vừa tạo, chọn Edit. Kéo xuống phần Hub & Spoke Topology, chọn nút Add để thêm Spoke mới.
Spoke 3 Mình sẽ để IP là 10.10.1.5.
Sau đó nhấn View ở trên Spoke mới add vào.
Copy lại Spoke Easy Configuration Key của Spoke mới.
Sau đó các bạn cấu hình VPN Tunnel trên Spoke mới với Configuration Key vừa copy là xong. Cách cấu hình tương tự như hướng dẫn ở phần cấu hình Spoke.
Ok Như vậy là mình đã hướng dẫn các bạn cấu hình VPN Hub-and-Spoke trên Firewall Fortigate. Nếu các bạn gặp khó khăn gì có thể comment bên dưới bài viết để mọi người cùng khắc phục nhé.
Chúc các bạn thành công!
Switch
.png){kind=icon}
.png){kind=logo}
.jpg)
.png){kind=logo}
![[FortiOS 5.6] Hướng dẫn cấu hình HA trên Firewall Fortigate](https://cnttshop.vn//storage/bai%20viet/Fortinet/HA/HA-min.jpg "[FortiOS 5.6] Hướng dẫn cấu hình HA trên Firewall Fortigate")
![[FortiOS 5.6] Hướng dẫn cấu hình cơ bản trên Firewall Fortigate](https://cnttshop.vn//storage/images/tin-tuc/tin-tuc/cau-hinh-co-ban-firewall-fortigate.jpg "[FortiOS 5.6] Hướng dẫn cấu hình cơ bản trên Firewall Fortigate")
![[FortiOS 5.6] Cấu hình Load Balancing trên Fortinet sử dụng SDWAN](https://cnttshop.vn//storage/bai%20viet/Fortinet/SDWAN/cau%20hinh%20load%20balancing-min.jpg "[FortiOS 5.6] Cấu hình Load Balancing trên Fortinet sử dụng SDWAN")
![[FortiOS 5.4] Hướng dẫn update firmware Firewall Fortigate](https://cnttshop.vn//storage/bai%20viet/Fortinet/updatefirmware/cau%20hinh%20co%20ban%20fortigate-min-min.jpg "[FortiOS 5.4] Hướng dẫn update firmware Firewall Fortigate")
![[FortiOS 5.4] Cấu hình Web Filtering - Block 1 website (Facebook, Youtube...)](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude.PNG "[FortiOS 5.4] Cấu hình Web Filtering - Block 1 website (Facebook, Youtube...)")
![[FortiOS 5.4] Cấu hình Web Filtering - Block 1 đề mục trên Website.](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-1-min.png "[FortiOS 5.4] Cấu hình Web Filtering - Block 1 đề mục trên Website.")
![[FortiOS 5.4] Cấu hình Web Filtering - Block tìm kiếm với từ khóa](https://cnttshop.vn//storage/bai%20viet/Fortinet/web-filtering/Webfilter-fortigate-tieude-min-3.PNG "[FortiOS 5.4] Cấu hình Web Filtering - Block tìm kiếm với từ khóa")
Bình luận bài viết!