Logo CNTTShop.vn

Hotline: 0966 658 525

Hà Nội: NTT03, Line 1, Thống Nhất Complex, 82 Nguyễn Tuân, Thanh Xuân, Hà Nội. ● HCM: Số 31B, Đường 1, Phường An Phú, Quận 2 (Thủ Đức), TP HCM. ===> Đơn Vị Hàng Đầu Trong Lĩnh Vực Cung Cấp Thiết Bị Security - Network - Wifi - CCTV - Conference - Máy chủ Server - Lưu trữ Storge.
Thiết bị mạng: 0962 052 874 - 0966 658 525 Máy chủ Server: 0866 176 188 - 0968 498 887 Purchase: 096 350 6565
Danh mục sản phẩm

Hướng dẫn cấu hình VPN Site to Site Firewall Fortigate

 

Trong bài viết này, CNTTShop sẽ hướng dẫn các bạn cấu hình VPN Site to Site trên tường lửa firewall Fortigate. Mình sử dụng phần mềm PnetLab để dựng mô hình với phiên bản FortiOS 7.0, với các thiết bị thật thì các menu và cấu hình hoàn toàn tương tự.

Mô hình và các thông số thiết lập VPN

mô hình kết nối VPN Site to Site Fortigate

Mình sử dụng mô hình đơn giản gồm có 2 site, site HeadQuarter với dải IP local là 192.168.1.0/24, IP wan 100.0.0.1, site Branch với dải IP local là 10.0.0.0/24, IP wan là 100.0.0.2. Cả 2 site đều sử dụng firewall Fortigate. Nếu site remote sử dụng các thiết bị hãng khác như Cisco, Juniper, Palo Alto, Sophos, Sonicwall... thì các bạn vẫn làm tương tự, chỉ cần thiết lập đúng các thông số VPN là được.

Mình sẽ cấu hình 1 VPN tunnel giữa Head Quarter và Branch để các máy tính giữa 2 site có thể ping được nhau. Dưới đây là các thông số mà mình sẽ thiết lập cho vpn tunnel.

Các thông số thiết lập VPN phase 1, Phase 2 IPSec

Trong bài này mình sẽ sử dụng IPSec Wizard để tạo tunnel, sau đó convert tunnel này sang Custom để thay đổi các thông số VPN. Làm theo cách này chúng ta sẽ không cần tạo policy, route cho VPN, mà các cấu hình này sẽ được tạo tự động.

Cấu hình VPN Site to Site Tunnel

Trên giao diện web của firewall Head Quarter, truy cập vào menu: VPN > Ipsec Wizard, tại đây các bạn thiết lập các thông số cơ bản cho VPN.

  • Name: đặt tên cho VPN tunnel.
  • Template type: chọn Site to Site.
  • NAT configuration: chọn No NAT between sites. Nếu phía trước Firewall có 1 thiết bị router chạy NAT thì các bạn chọn mục này là This site is behind NAT, sau đó các bạn cần mở 2 Port UDP 500UDP 4500 trên thiết bị NAT.
  • Remote Device Type: các bạn vẫn chọn Fortigate ở mục này.

Thiết lập VPN name, NAT, remote device type

Nhấn Next, sau đó thiết lập các thông số Authentication cho VPN Tunnel:

  • Remote Device: chọn IP Address nếu IP Wan là IP tĩnh. Nếu IP động các bạn có thể cấu hình DDNS và chọn mục này là Dynamic DNS.
  • Remote IP Address: nhập địa chỉ IP WAN của site remote, trong mô hình của mình là 100.0.0.2.
  • Outgoing Interface: chọn cổng WAN.
  • Authentication method: chọn phương thức xác thực, trong trường hợp của mình là Pre-shared Key.

thiết lập remote ip address và Preshared key cho vpn tunnel

Nhấn Next, thiết lập các dải mạng của 2 site cho VPN:

  • Local Interface: chọn cổng mạng kết nối xuống dải mạng LAN đang VPN.
  • Local Subnets: nhập dải mạng local, trong mô hình của mình là 192.168.1.0/24. Nếu có nhiều dải mạng, các bạn có thể nhấn dấu + và nhập thêm các VLAN khác vào.
  • Remote Subnets: nhập dải mạng LAN của site remote
  • Internet Access: mục này chúng ta có 3 tùy chọn. Tùy chọn None thì chỉ có traffic giữa các dải LAN của VPN mới đi qua tunnel, còn traffic truy cập internet sẽ không phụ thuộc vào VPN. Tùy chọn Share Local thì traffic truy cập internet của site Branch sẽ đi qua VPN tunnel và sử dụng đường Wan của site HQ để ra internet. Tương tự với tùy chọn Use Remote sẽ sử dụng đường WAN của site remote.

cấu hình dải mạng local và remote cho VPN

Nhấn Next, sau đó nhấn Create để tạo VPN Tunnel. Sau khi tạo VPN tunnel bằng wizard, vào phần Firewall Policy, chúng ta sẽ thấy Fortigate đã tạo sẵn 2 Policy cho VPN tunnel. Nếu các bạn muốn thay đổi chính sách thì chỉ cần edit các policy này là xong. Nếu cấu hình Custom ngay từ đầu, chúng ta sẽ phải tự tạo các Policy này.

fortigate tạo sẵn 2 policy cho VPN tunnel

Static Route cũng được tạo tự động cho VPN Tunnel.

static route cũng được tạo tự động cho VPN tunnel

Tương tự mình sẽ cấu hình 1 VPN tunnel trên Firewall Branch, các thông số của VPN Tunnel chúng ta cần thiết lập tương tự như Site Head Quarter.

Convert VPN Tunnel sang Custom Tunnel

Sau khi có VPN tunnel, chúng ta sẽ convert tunnel này sang Custorm và thiết lập các thông số VPN. Vào menu Ipsec tunnel, chọn edit Tunnel vừa tạo, sau đó chọn Convert to Custom tunnel.

convert vpn tunnel to custom tunnel

Trong phần Network, chọn Enable ở mục NAT Traversal.

enable NAT traversal trong menu Network

Vào mục Authentication và đổi tham số Exchange Mode sang Main (ID Protection), mục Pre-shared Key chúng ta đã cấu hình trong phần wizard.

cấu hình VPN mode sang Main và Pre Shared key

Mục Phase 1 Proposal, thiết lập các thông số Diffie-Helman Group 2, EncryptionDES, thuật toán HashSHA1, mục NAT-T chúng ta đã thiết lập enable trong menu Network.

Thiết lập các thông số Phase 1 Proposal

Tiếp theo, chọn Phase 2 Proposal, nhấn dấu + ở mục Advanced để thiết lập các thông số cho phase 2, chọn thuật toán EncryptionDES, AuthenticationSHA1, bỏ tích chọn mục PFS., Key life time là 28800.

thiết lập các thông số Phase 2 Proposal

Tương tự các bạn thay đổi tham số trên firewall Branch. Sau khi cấu hình xong các bạn thấy VPN tunnel trên 2 firewall vẫn đang down và ở trạng thái inactive. Vấn đề này là do chưa có traffic đi qua VPN tunnel.

show vpn tunnel status

Mình đang có 2 PC ở 2 site. VPC5 đang có IP 192.168.1.20, VPC6 đang có IP 10.0.0.20. Từ VPC5 mình sẽ Ping đến IP của VPC6.

kiểm tra kết nối từ VPC5 đến VPC6

Các bạn có thể thấy, từ vPC5 của site HQ đã ping được đến vPC6 của site Branch. Sau đó vào firewall kiểm tra, chúng ta sẽ thấy VPN tunnel đã UP.

Sau khi Ping OK thì vpn tunnel đã UP

Như vậy là mình đã hướng dẫn các bạn cấu VPN Site to site trên firewall Fortigate. Nếu các bạn có yêu cầu hướng dẫn về bất cứ tính năng nào firewall Fortigate, hãy để lại comment, CNTTShop sẽ viết bài hướng dẫn trong thời gian sớm nhất.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).

Bình luận bài viết!

Có 3 bình luận:
L
Kim Long
Chào Admin! - Công ty mình có nhiều chi nhánh. Tất cả thiết bị Firewall tại công ty và chi nhánh sử dụng đều là Fortigate. Phía trước Firewall có thiết bị Router chạy NAT được mở Port 4500 và Port 500 - Hiện tại công ty đang cấu hình IPsec VPN Site to Site với chi nhánh Hà Nội thành công. Ở 2 site sử dụng “This site is behind NAT” và chọn “ Nat Traversal” các Tunnel đều up và các máy PC ở 2 Site ping thấy nhau. - Sử dụng lệnh: “diagnose vpn ike gateway list name….” kiểm tra ở 2 site thấy Port ở 2 site là 4500 - Cũng cấu hình tương tự IPsec VPN Site to Site cho công ty và chi nhánh Cần Thơ thì bị lỗi, các Tunnel không up. Sử dụng lệnh: “diagnose vpn ike gateway list name….” kiểm tra ở 2 site thấy Port ở công ty là 500 trong khi ở Cần thơ là 4500. - Rất mong nhận được hỗ trợ và chỉ bảo từ các bạn. Mình cảm ơn các bạn !
2 ngày
C
CNTTShopAdmin

Trước tiên bạn kiểm tra lại phần IP WAN nhé. Bạn có thể sử dụng 1 PC tại site Cần Thơ và sử dụng website check IP WAN, xem IP này có giống với IP trên router không nhé.

T
Thuần
Chào admin,mình có 2 site,vpn đã báo up mà không thể ping được.Site A (2 line VNPT và FPT) sử dụng quay PPPOE,Site B(2 line đều của FPT) sử dụng DHCP.Lỗi này là do đâu vậy ? Rất mong nhận được hỗ trợ và chỉ bảo từ các bạn.Mình cần cung cấp thông tin gì phản hồi giúp mình nhé.Mình cảm ơn các bạn !
9 ngày
C
CNTTShopAdmin

Nếu VPN đã UP maf không ping được thì trước tiên bạn cần kiểm tra xem thiết bị đang ping đến đã cho phép ping chưa nhé (test local trước). Nếu local ping OK thì bạn kiểm tra xem đã có Policy cho phép 2 chiều giữa VPN và LAN local trên 2 firewall chưa

B
Ngô Duy Bảo
Chào admin, tôi có 1 vấn đề cần giải đáp. Hiện tại công ty tôi sử dụng thiết bị Fortigate 60F Tôi muốn giới hạn lại quyền kết nối VPN theo IP Public của nhà mạng. Ví dụ: tôi muốn thiết lập chỉ cho phép 2 IP là 113.176.99.1xx và 113.176.99.2xx mới có thể connect tới VPN trên công ty. Có cách nào để thực hiện không.? Hiện tại công ty sử dụng IPSec VPN
19 ngày
C
CNTTShopAdmin

Anh có thể giới hạn IP bằng local-in-policy, với source IP là các IP anh cho phép kết nối VPN, Destination là IP WAN, service là IKE. Anh có thể tham khảo chi tiết trong link: https://community.fortinet.com/t5/FortiGate/Technical-Tip-Restrict-IPSec-VPN-access-to-certain-countries/ta-p/192328

Chuyên mục chính
Bài viết liên quan
Bài viết cùng danh mục
Sản phẩm liên quan