Hướng dẫn cấu hình VPN Site to Site Firewall Fortigate

Trong bài viết này, CNTTShop sẽ hướng dẫn các bạn cấu hình VPN Site to Site trên tường lửa firewall Fortigate. Mình sử dụng phần mềm PnetLab để dựng mô hình với phiên bản FortiOS 7.0, với các thiết bị thật thì các menu và cấu hình hoàn toàn tương tự.

Mục lục

Mô hình và các thông số thiết lập VPN
Cấu hình VPN Site to Site Tunnel
Convert VPN Tunnel sang Custom Tunnel

Mô hình và các thông số thiết lập VPN

mô hình kết nối VPN Site to Site Fortigate

Mình sử dụng mô hình đơn giản gồm có 2 site, site HeadQuarter với dải IP local là 192.168.1.0/24, IP wan 100.0.0.1, site Branch với dải IP local là 10.0.0.0/24, IP wan là 100.0.0.2. Cả 2 site đều sử dụng firewall Fortigate. Nếu site remote sử dụng các thiết bị hãng khác như Cisco, Juniper, Palo Alto, Sophos, Sonicwall... thì các bạn vẫn làm tương tự, chỉ cần thiết lập đúng các thông số VPN là được.

Mình sẽ cấu hình 1 VPN tunnel giữa Head Quarter và Branch để các máy tính giữa 2 site có thể ping được nhau. Dưới đây là các thông số mà mình sẽ thiết lập cho vpn tunnel.

Các thông số thiết lập VPN phase 1, Phase 2 IPSec

Trong bài này mình sẽ sử dụng IPSec Wizard để tạo tunnel, sau đó convert tunnel này sang Custom để thay đổi các thông số VPN. Làm theo cách này chúng ta sẽ không cần tạo policy, route cho VPN, mà các cấu hình này sẽ được tạo tự động.

Cấu hình VPN Site to Site Tunnel

Trên giao diện web của firewall Head Quarter, truy cập vào menu: VPN > Ipsec Wizard, tại đây các bạn thiết lập các thông số cơ bản cho VPN.

Name: đặt tên cho VPN tunnel.
Template type: chọn Site to Site.
NAT configuration: chọn No NAT between sites. Nếu phía trước Firewall có 1 thiết bị router chạy NAT thì các bạn chọn mục này là This site is behind NAT, sau đó các bạn cần mở 2 Port UDP 500 và UDP 4500 trên thiết bị NAT.
Remote Device Type: các bạn vẫn chọn Fortigate ở mục này.

Thiết lập VPN name, NAT, remote device type

Nhấn Next, sau đó thiết lập các thông số Authentication cho VPN Tunnel:

Remote Device: chọn IP Address nếu IP Wan là IP tĩnh. Nếu IP động các bạn có thể cấu hình DDNS và chọn mục này là Dynamic DNS.
Remote IP Address: nhập địa chỉ IP WAN của site remote, trong mô hình của mình là 100.0.0.2.
Outgoing Interface: chọn cổng WAN.
Authentication method: chọn phương thức xác thực, trong trường hợp của mình là Pre-shared Key.

thiết lập remote ip address và Preshared key cho vpn tunnel

Nhấn Next, thiết lập các dải mạng của 2 site cho VPN:

Local Interface: chọn cổng mạng kết nối xuống dải mạng LAN đang VPN.
Local Subnets: nhập dải mạng local, trong mô hình của mình là 192.168.1.0/24. Nếu có nhiều dải mạng, các bạn có thể nhấn dấu + và nhập thêm các VLAN khác vào.
Remote Subnets: nhập dải mạng LAN của site remote
Internet Access: mục này chúng ta có 3 tùy chọn. Tùy chọn None thì chỉ có traffic giữa các dải LAN của VPN mới đi qua tunnel, còn traffic truy cập internet sẽ không phụ thuộc vào VPN. Tùy chọn Share Local thì traffic truy cập internet của site Branch sẽ đi qua VPN tunnel và sử dụng đường Wan của site HQ để ra internet. Tương tự với tùy chọn Use Remote sẽ sử dụng đường WAN của site remote.

cấu hình dải mạng local và remote cho VPN

Nhấn Next, sau đó nhấn Create để tạo VPN Tunnel. Sau khi tạo VPN tunnel bằng wizard, vào phần Firewall Policy, chúng ta sẽ thấy Fortigate đã tạo sẵn 2 Policy cho VPN tunnel. Nếu các bạn muốn thay đổi chính sách thì chỉ cần edit các policy này là xong. Nếu cấu hình Custom ngay từ đầu, chúng ta sẽ phải tự tạo các Policy này.

fortigate tạo sẵn 2 policy cho VPN tunnel

Static Route cũng được tạo tự động cho VPN Tunnel.

static route cũng được tạo tự động cho VPN tunnel

Tương tự mình sẽ cấu hình 1 VPN tunnel trên Firewall Branch, các thông số của VPN Tunnel chúng ta cần thiết lập tương tự như Site Head Quarter.

Convert VPN Tunnel sang Custom Tunnel

Sau khi có VPN tunnel, chúng ta sẽ convert tunnel này sang Custorm và thiết lập các thông số VPN. Vào menu Ipsec tunnel, chọn edit Tunnel vừa tạo, sau đó chọn Convert to Custom tunnel.

convert vpn tunnel to custom tunnel

Trong phần Network, chọn Enable ở mục NAT Traversal.

enable NAT traversal trong menu Network

Vào mục Authentication và đổi tham số Exchange Mode sang Main (ID Protection), mục Pre-shared Key chúng ta đã cấu hình trong phần wizard.

cấu hình VPN mode sang Main và Pre Shared key

Mục Phase 1 Proposal, thiết lập các thông số Diffie-Helman Group 2, Encryption là DES, thuật toán Hash là SHA1, mục NAT-T chúng ta đã thiết lập enable trong menu Network.

Thiết lập các thông số Phase 1 Proposal

Tiếp theo, chọn Phase 2 Proposal, nhấn dấu + ở mục Advanced để thiết lập các thông số cho phase 2, chọn thuật toán Encryption là DES, Authentication là SHA1, bỏ tích chọn mục PFS., Key life time là 28800.

thiết lập các thông số Phase 2 Proposal

Tương tự các bạn thay đổi tham số trên firewall Branch. Sau khi cấu hình xong các bạn thấy VPN tunnel trên 2 firewall vẫn đang down và ở trạng thái inactive. Vấn đề này là do chưa có traffic đi qua VPN tunnel.

show vpn tunnel status

Mình đang có 2 PC ở 2 site. VPC5 đang có IP 192.168.1.20, VPC6 đang có IP 10.0.0.20. Từ VPC5 mình sẽ Ping đến IP của VPC6.

kiểm tra kết nối từ VPC5 đến VPC6

Các bạn có thể thấy, từ vPC5 của site HQ đã ping được đến vPC6 của site Branch. Sau đó vào firewall kiểm tra, chúng ta sẽ thấy VPN tunnel đã UP.

Sau khi Ping OK thì vpn tunnel đã UP

Như vậy là mình đã hướng dẫn các bạn cấu VPN Site to site trên firewall Fortigate. Nếu các bạn có yêu cầu hướng dẫn về bất cứ tính năng nào firewall Fortigate, hãy để lại comment, CNTTShop sẽ viết bài hướng dẫn trong thời gian sớm nhất.

Chúc các bạn thành công!

Lê Văn Tuấn

Là chuyên gia trong lĩnh vực Network System, Security, Server.. Có kinh nghiệm nhiều năm tư vấn giải pháp mạng, triển khai các giải pháp CNTT và phân phối thiết bị mạng Switch, Wifi, Router, Máy chủ Server, Lưu trữ Storage, Tường lửa Firewall, Video Conferencing, Module quang, Load Balancing. Hiện tại tôi là Founder và Managing Director công ty TNHH Công Nghệ Việt Thái Dương (CNTTShop.vn).