Trong bài lab trước về cấu hình site to site, ta đã biết được cách cấu hình để tạo đường kết nối giữa 2 mạng từ xa với nhau, vậy còn trường hợp một người dùng từ xa muốn vào một mạng thì sao. Bài lab sẽ mô phỏng cấu hình để tạo kết nối từ một máy nhân viên từ xa muốn truy cập đến mạng nội bộ của công ty.
II. Cấu hình
Giống như mô hình các bài lab trước, bổ sung thêm một máy kết nối vào mạng internet để giả lập làm người dùng muốn truy cập từ xa. Mục tiêu bài lab là cho phép máy PC_Remote(IPSec) truy cập từ xa được vào mạng LAN (chỉ truy cập vào vlan 10) của công ty).
Vào User & Authentication/User Definition để tạo Local user
Đặt tên và mật khẩu người dùng
Không hỗ trợ tính năng xác thực 2 yếu tố (2FA) nên ta sẽ bỏ qua bước này
Chọn thêm vào nhóm đã tạo ở trên để hoàn tất
Chọn cổng ra mạng WAN, đặt khoá dùng cho xác thực bên phía người dùng và chọn nhóm người dùng lúc nãy
Chọn vùng mạng để máy từ xa có thể đi tới, chọn dải địa chỉ trong mạng đó để tự động cấp phát cho máy từ xa, subnet mask để mặc định là /32, DNS mặc định hoặc tuỳ chỉnh đều được.
Tuỳ chọn "Enable IPv4 Split Tunnel" cho phép ta kiểm soát cả lưu lượng ra internet của phía remote, tức là toàn bộ lưu lượng sẽ đi qua VPN. Bật nó lên để lọc ra chỉ lưu lượng vào mạng LAN mới cần VPN.
Các tuỳ chọn bật tắt tuỳ ý: lưu mật khẩu, tự động kết nối hay giữ tunnel luôn duy trì kết nối
Kiểm tra lại, lúc này trạng thái đang là tắt vì chưa có người dùng
Tạo connection mới, đặt remote gateway là địa chỉ cổng WAN của tường lửa, khoá trùng với khoá lúc tạo tunnel, tuỳ chọn lưu tên đăng nhập tuỳ ý
Cần cấu hình phần mã hoá khớp giữa 2 bên mới có thể sử dụng được. Để cấu hình phần mã hoá, chọn Convert To Custom Tunnel trong Edit VPN tunnel. Chú ý ở loại mã hoá, DH group của các phase
Tiến hành đăng nhập vào Forticlient trên máy người dùng từ xa
Kiểm tra địa chỉ IP trên máy người dùng, đã có IP được cấp phát tự động trong dải cấu hình trước
Ping kiểm tra tới PC1 (VLAN10)
Mục lục
I. Mô hìnhII. Cấu hình
1. Tạo tài khoản người dùng
2. Tạo tunnel
3. Cài Forticlient từ phía người dùng
III. Kiểm tra kết quả2. Tạo tunnel
3. Cài Forticlient từ phía người dùng
I. Mô hình
Giống như mô hình các bài lab trước, bổ sung thêm một máy kết nối vào mạng internet để giả lập làm người dùng muốn truy cập từ xa. Mục tiêu bài lab là cho phép máy PC_Remote(IPSec) truy cập từ xa được vào mạng LAN (chỉ truy cập vào vlan 10) của công ty).
II. Cấu hình
1. Tạo tài khoản người dùng
Ta cần tạo nhóm người dùng trước. Vào User & Authentication/User Groups chọn Create New để tạo nhóm người dùng truy cập từ xa
Vào User & Authentication/User Definition để tạo Local user
Đặt tên và mật khẩu người dùng
Không hỗ trợ tính năng xác thực 2 yếu tố (2FA) nên ta sẽ bỏ qua bước này
Chọn thêm vào nhóm đã tạo ở trên để hoàn tất
2. Tạo tunnel
Vào VPN/IPsec Wizard để tiến hành tạo tunnel, đặt tên và chọn Remote access
Chọn cổng ra mạng WAN, đặt khoá dùng cho xác thực bên phía người dùng và chọn nhóm người dùng lúc nãy
Chọn vùng mạng để máy từ xa có thể đi tới, chọn dải địa chỉ trong mạng đó để tự động cấp phát cho máy từ xa, subnet mask để mặc định là /32, DNS mặc định hoặc tuỳ chỉnh đều được.
Tuỳ chọn "Enable IPv4 Split Tunnel" cho phép ta kiểm soát cả lưu lượng ra internet của phía remote, tức là toàn bộ lưu lượng sẽ đi qua VPN. Bật nó lên để lọc ra chỉ lưu lượng vào mạng LAN mới cần VPN.
Các tuỳ chọn bật tắt tuỳ ý: lưu mật khẩu, tự động kết nối hay giữ tunnel luôn duy trì kết nối
Kiểm tra lại, lúc này trạng thái đang là tắt vì chưa có người dùng
3. Cài Forticlient từ phía người dùng
Ở máy người dùng truy cập từ xa, cài Forticlient để có thể VPN
Tạo connection mới, đặt remote gateway là địa chỉ cổng WAN của tường lửa, khoá trùng với khoá lúc tạo tunnel, tuỳ chọn lưu tên đăng nhập tuỳ ý
Cần cấu hình phần mã hoá khớp giữa 2 bên mới có thể sử dụng được. Để cấu hình phần mã hoá, chọn Convert To Custom Tunnel trong Edit VPN tunnel. Chú ý ở loại mã hoá, DH group của các phase
III. Kiểm tra kết quả
Kiểm tra các giao diện, policy được tự động tạo sau khi tạo tunnel
Tiến hành đăng nhập vào Forticlient trên máy người dùng từ xa
Kiểm tra địa chỉ IP trên máy người dùng, đã có IP được cấp phát tự động trong dải cấu hình trước
Ping kiểm tra tới PC1 (VLAN10)
Đính kèm
Bài viết liên quan
Bài viết mới