Fortigate [LAB 05] Cấu hình IPSec VPN Site-to-Site (pre-shared key) giữa 2 thiết bị Firewall FortiGate

HanaLink

Junior – IT Sơ cấp
Mar 11, 2022
129
15
18
25
Ho Chi Minh City
Phương thức IPSec VPN giúp thiết lập kết nối giữa 2 mạng LAN tại 2 Site khác nhau bằng cách cấp 1 tunnel ảo giữa 2 thiết bị (hỗ trợ cho các thiết bị router hoặc firewall của các hãng khác nhau) để duy trì kết nối. Trong bài viết này mình sẽ hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa 2 thiết bị Firewall FortiGate như mô hình sau:
1681725548794.png



I. Cấu hình IPSec VPN Site to Site Tunnel
Bước 1:

Truy cập vào phần VPN > IPsec Wizard, tại mục cấu hình VPN Setup bạn sẽ cấu hình cho kết nối VPN của mình:
1681725197832.png

  • Name: điền tên của kết nối (không yêu cầu tên giống nhau tại 2 site nên bạn có thể đặt tùy ý)
  • Template type: mình đang muốn cấu hình Site to Site nên chọn option này
  • NAT configuration: chọn option "No NAT between sites" vì Firewall của 2 Site đang kết nối trực tiếp với ISP để đi Internet, trong trường hợp nếu phía trước Firewall Site 1 có một thiết bị khác chạy NAT thì bạn chọn option "This site is behind NAT" (tương tự nếu Firewall Site 2 lại đứng phía sau một thiết bị NAT thì bạn chọn "The remote site is behind NAT") và trên thiết bị chạy NAT đó yêu cầu cần mở 2 port UDP 500 và UDP 4500
  • Remote device type: hiện tại FortiGate hỗ trợ cấu hình với thiết bị Cisco, trong trường hợp hiện tại mình sẽ chọn FortiGate vì cả 2 Firewall tại 2 Site mình đều dùng FortiGate.
Bước 2:
Tại phần Authentication cấu hình các thông tin sau:
1681791101722.png

  • Remote device: option IP Address để điền thông tin IP và option Dynamic DNS để điền thông tin DNS của Firewall Site 2, tại đây mình sẽ chọn IP Address
  • Remote IP address: nếu các bạn chọn option IP Address thì tại đây các bạn điền IP Public của Firewall FortiGate của Site 2
  • Outgoing Interface: Interface được sử dụng để kết nối đi Internet, mình sẽ chọn là cổng Wan 1 như sơ đồ
  • Authentication method: Có 2 option để các bạn như hình, để đơn giản mình sẽ chọn Pre-shared Key
  • Pre-shared key: với option trên thì mình sẽ nhập key để 2 Firewall của 2 Site xác thực nhau khi kết nối (lưu ý bạn phải nhập thông tin giống nhau cho cả 2 thiết bị Firewall kết nối VPN với nhau)
Bước 3:
Tại phần Policy & Routing, mình sẽ nhập các thông tin bao gồm Local Interface và Subnet mình muốn duy trì kết nối và ngược lại là thông tin Remote Subnets của mạng LAN tại Site còn lại, sau đó chọn Create
1681791598833.png

Sau đó bạn vào phần Policy kiểm tra thì bạn sẽ thấy Policy sẽ tạo sẵn 2 rule để 2 site có thể nhận được traffic mạng LAN của nhau:
1681792647214.png


II. Kiểm tra kết nối
Vào phần VPN > IPSec Tunnels chọn Edit đường VPN:
1681792109973.png

Chọn Convert to Custom Tunnel:
1681792053844.png

Sau ta các bạn có thể điều chỉnh các thông số bên trong kết nối của mình bao gồm thông tin Encryption, NAT,...

Các bạn cũng cấu hình tương tự các bước cho Firewall tại Site 2, điền đúng thông tin IP Public của Firewall Site 1 và Pre-shared key
1681793015779.png


Sau đó bạn tiến hành ping kiểm tra mạng LAN giữa 2 Site và kiểm tra kết nối đã thấy up:
1681793161823.png


Chúc các bạn thành công :">
 

Attachments

  • 1681719704464.png
    1681719704464.png
    66.8 KB · Views: 0
  • 1681723904360.png
    1681723904360.png
    75.3 KB · Views: 0
  • 1681723984529.png
    1681723984529.png
    145 KB · Views: 0
  • 1681724053432.png
    1681724053432.png
    130.9 KB · Views: 0
  • 1681724140411.png
    1681724140411.png
    133.9 KB · Views: 0
  • 1681724228543.png
    1681724228543.png
    101.9 KB · Views: 0
  • 1681724452673.png
    1681724452673.png
    181.5 KB · Views: 0
  • 1681724602415.png
    1681724602415.png
    168.2 KB · Views: 0
  • 1681725538123.png
    1681725538123.png
    157.1 KB · Views: 0
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu