Fortigate [LAB 08] Cấu hình SSL-VPN trên FortiGate và cách sử dụng FortiClient để kết nối VPN

HanaLink

Junior – IT Sơ cấp
Mar 11, 2022
123
15
18
25
Ho Chi Minh City
Mạng riêng ảo (VPN) là dịch vụ cho phép người dùng thiết lập kết nối an toàn, được mã hóa giữa internet public và mạng local của công ty hoặc tổ chức.
SSL VPN (Secure Sockets Layer VPN) cho phép người dùng cá nhân truy cập vào mạng của tổ chức, các ứng dụng máy khách-máy chủ cũng như các thư mục và tiện ích mạng nội bộ mà không cần phần mềm chuyên dụng. SSL VPN cung cấp khả năng liên lạc an toàn, bảo mật thông qua kết nối được mã hóa cho tất cả các loại thiết bị, bất kể việc truy cập mạng là qua internet công cộng hay mạng bảo mật khác.
1708654366531.png

Tất cả lưu lượng giữa trình duyệt web và thiết bị SSL VPN được mã hóa bằng giao thức SSL hoặc giao thức bảo mật tầng vận chuyển (TLS). Người dùng cá nhân của SSL VPN không phải quyết định sử dụng giao thức nào để VPN thực hiện công việc của mình. Thay vào đó, SSL VPN sẽ tự động sử dụng giao thức mật mã mới nhấ được cài đặt trên trình duyệt của người dùng. Người dùng cũng không cần lo lắng về việc cập nhật giao thức trên trình duyệt của mình. Bất cứ khi nào trình duyệt hoặc hệ điều hành (HĐH) được cập nhật, phiên bản mới nhất của giao thức sẽ được cập nhật cùng với nó.

Trong bài viết này mình sẽ hướng dẫn các bạn cấu hình SSL VPN trên FortiGate và cách sử dụng ứng dụng FortiClient để truy cập vào hệ thống mạng công ty/ tổ chức.

I. Cấu hình SSL VPN trên FortiGate
1. Cấu hình User và User Group

Nếu bạn đã có sẵn danh sách người dùng và nhóm người dùng phần quyền kết nối VPN vào hệ thống thì có thể bỏ qua bước này.
Truy cập GUI quản trị của FortiGate, vào phần User & Device > User Definition và chọn Create New để tạo tài khoản người dùng (trong phần hướng dẫn này mình sẽ tạo tài khoản LOCAL, tham khảo thêm cách tạo tài khoản bằng LDAP Server tại ĐÂY)
1682477716711.png

Tại mục User Type chọn Local User và bấm Next:
1682477787570.png

Mục Login Credentials nhập Username và Password mà bạn muốn cấp cho tài khoản và chọn Next:
1682477864282.png

Tại phần Contact Info bạn có thể nhập thêm thông tin về Email hoặc xác thực 2 bước qua SMS/Two-factor Authentication. Mục Extra Info bạn chọn Enable và bấm Submit để hoàn thành:
1682477986895.png

Sau đó bạn vào User Groups chọn Create New để tạo group để quản trị và gán policy:

1682478131424.png

Nhập thông tin tên group, chọn Type là Firewall, phần Members bấm vào dấu + và chọn tên user muốn thêm vào group và chọn OK để hoàn thành:
1682478313102.png


2. Cấu hình SSL VPN Portal
Truy cập VPN > SSL-VPN Portals và chọn Create New:
1682478404294.png

Đặt tên cho Portal, với option "Limit Users to One SSL-VPN Connection at a Time" nếu bạn chọn enable thì đồng nghĩa mỗi người dùng chỉ có thể đăng nhập đồng thời vào đường hầm một lần cho mỗi tài khoản (hay cụ thể hơn là sau khi đăng nhập vào cổng, họ không thể truy cập hệ thống khác và không đăng nhập lại bằng thông tin đăng nhập đó).
  • Tunnel Mode:
    • Enable Split Tunnel: nếu bạn chọn disabel thì các traffic truy cập internet qua VPN cũng đi qua firewall, ngược lại nếu bạn enable thì các traffic với đích đến không xác định (internet access) sẽ không đi qua tunnel mà sẽ đi qua mạng client đang kết nối thông qua wifi hoặc mạng dây, traffic truy cập vào mạng nội bộ vẫn đi qua firewall. Trường hợp bạn enable bạn sẽ cần xác định thêm các Address bạn cho phép người dùng truy cập qua tunnel.
    • Source IP Pools: dải IP cấp cho VPN client. Mặc định hệ thống sẽ xác định cho bạn 1 dãy IP thông qua Object SSLVPN_TUNNEL_ADDR1, tuy nhiên bạn vẫn có thể Edit hoặc chọn object khác.
    • Tunnel Mode Client Option: các tùy chọn bạn có thể bật cho phép client như lưu mật khẩu, tự động kết nối... Với DNS Split Tunneling cũng tương tự, khi disable thì tất cả các domain đều sẽ được phân giải bằng DNS của hệ thống đang VPN, còn khi enable thì các domain không được xác định sẽ được phân giải bằng DNS Local của Client, còn các domain được cấu hình mới được phân giải bằng DNS của hệ thống VPN.
1682479783791.png

  • Web Mode:
    • Portal Message: thông điệp được hiển thị trên tab trình duyệt khi truy cập bằng web mode.
    • Theme: giao diện khi truy cập web mode.
    • Tùy chọn được hiển thị khi truy cập web mode bạn có thể bật như Show Session Information, Show Connection Launcher, Show Login HistoryUser Bookmarks.
    • Predefined Bookmarks: phần này để tạo các Bookmarks, khi truy cập bằng web mode sẽ hiển thị sẵn các Bookmarks đã được cấu hình sẵn này để truy cập nhanh trong web portals.
1682479849105.png

  • Enable FortiClient Download: nếu bạn enable tính năng này thì client khi kết nối có thể trực tiếp download phần mềm Forticlient từ Portal.

3. Cấu hình SSL VPN Settings
Truy cập phần VPN > SSL-VPN Settings để tùy chỉnh các cài đặt, trong đó:
  • Connection Settings:
    • Listen on Interface(s): chọn cổng kết nối từ người dùng mạng truy cập VPN vào hệ thống
    • Listen on Port: port được dùng để kết nối VPN, mặc định sẽ sử dụng port 443 (bạn có thể thay đổi thành 1 port khác để không trùng với port đang được sử dụng cho HTTPS)
    • Restrict Access: option "Allow access from any host" cho phép người dùng từ bất kì subnet nào cũng có thể truy cập VPN
    • Idle Logout: enable thời gian timeout khi người dùng không còn sử dụng VPN
    • Server Certificate: Certificate cho SSL nếu bạn có sẵn thì có thể thêm trong phần System > Certificates (nếu bạn không thấy mục này có thể vào phần System > Feature Visibility > enable mục Certificates), nếu bạn dùng mặc định thì sẽ có cảnh báo bảo mật khi truy cập bằng Web mode.
  • Tunnel Mode Client Settings:
    • Address Range: chọn option "Automatically assign addresses" để client nhận IP trong dải IP đã được xác định trong phần SSL-VPN Portals (mặc định là SSLVPN_TUNNEL_ADDR1) hoặc chọn dải IP khác với option "Specify custom IP ranges"
    • DNS Server: cấu hình thông tin DNS sẽ cấp cho Client khi truy cập VPN vào hệ thống
  • Authentication/Portal Mapping: ta chọn Create New và map thông tin User Group với Portal đã tạo trước đó, với phần All Other Users/Groups chon portal Web-access (hoặc 1 portal đã được tạo), sau đó chọn Apply để hoàn thành cấu hình.
1682493206800.png


4. Cấu hình Policy
Tạo policy cho phép người dùng VPN có thể truy cập mạng LAN của hệ thống, phần Source các bạn lưu ý chọn đúng group user để phân quyền truy cập:
1682496330553.png



II. Cách sử dụng phần mềm FortiClient để truy cập SSL VPN Tunnel
1. Cài đặt phần mềm FortiClient
Bạn truy cập đường dẫn Download FortiClient và chọn download "FortiClient VPN only":
1682480309082.png

Chọn hệ điều hành tương ứng và bấm DOWNLOAD:
1682480356931.png

Sau đó bạn khởi chạy tệp "FortiClientVPNOnlineInstaller.exe" với quyền Administrator vừa được download về máy của bạn:
1682480445264.png

Chờ tiến trình download image và chọn accept để Next:
1682480523721.png
>
1682481222543.png

Chọn Install và chờ tiến trình cài đặt:
1682481271861.png
>
1682481310849.png

nh
2. Kết nối SSL VPN
Mở ứng dụng FortiClient VPN, chọn Accept và Configure VPN, điền các thông tin VPN và chọn Save
1682481600944.png

Sau đó nhập password và chọn Connect:
1682482222564.png


III. Truy cập SSL-VPN thông qua Web Mode
Truy cập vào đường dẫn URL ở phần SSL-VPN Settings (mục Web mode access will be listening at https://<ip>:10443)
1682497147633.png

Đăng nhập bằng user VPN đã được cấu hình trước, bạn có thể chọn Quick Connection để dùng các dịch vụ connect vào hệ thống
1682497226613.png



Chúc các bạn thành công :">
 

Attachments

  • 1682478055372.png
    1682478055372.png
    125.5 KB · Views: 0
Last edited:
Server Certificate: Certificate cho SSL nếu bạn có sẵn thì có thể thêm trong phần System > Certificates (nếu bạn không thấy mục này có thể vào phần System > Feature Visibility > enable mục Certificates), nếu bạn dùng mặc định thì sẽ có cảnh báo bảo mật khi truy cập bằng Web mode.
Mình tự tạo cert thì vẫn bị hiện tượng cảnh báo bảo mật khi truy cập, chỗ này cũng ảnh hưởng khi tạo kết nối bằng VPN Client sẽ hiện thì cảnh báo như hình.
1682583171423.png

Vậy để không bị hiển thị cảnh báo bảo mật này thì mình phải làm sao vậy bạn

Bạn truy cập đường dẫn Download FortiClient và chọn download "FortiClient VPN only":
Với phần này tại sao phải chọn FortiClient VPN Only mà không phải FortiClient như trên portal ssl
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu