Hướng dẫn cấu hình truy cập từ xa vào mạng nội bộ công ty bằng Forticlient
Hướng dẫn cấu hình truy cập từ xa vào mạng nội bộ công ty bằng Forticlient ở chế độ SSL VPN tunnel trên tường lửa Fortigate phiên bản 7.4.7
Từ website chính thức này của Công ty TNHH TM DV Tin học Toàn Tâm, bạn có thể tìm thấy những thông tin và thủ thuật về máy vi tính cũng như những dịch vụ CNTT chất lượng mà chúng tôi cung cấp.
Sơ đồ kết nối mô phỏng:
Bật tính năng SSL VPN:
Theo mặc định, tính năng SSL VPN đã bị ẩn khỏi giao diện cài đặt chính, chúng ta cần phải mở nó lên để sử dụng
- Từ trình đơn chính, vào System > Feature Visibility.
- Từ cột Core Features, mở tính năng SSL-VPN bằng cách gạt nút tính năng qua phải.
- Nhấn Apply.
Trong trường hợp tính năng SSL VPN không có ngay cả tại cột Core Features, hãy dùng lệnh CLI để mở nó lên
config system settings
set gui-sslvpn enable
end
Thoát ra rồi đăng nhập lại, tính năng SSL VPN sẽ hiển thị trên trình đơn cấu hình chính với 3 đề mục SSL-VPN Portals, SSL-VPN Settings, SSL-VPN Clients
Cấu hình Interface and Address:
- Từ trình đơn chính, vào Network > Interfaces
- Cấu hình Wan1 interface là internet (cấu hình PPPoE hoặc DHCP tùy theo mô hình mạng công ty) và đặt tên là INTERNET (wan1)
- Nhấn OK.
Cấu hình người dùng và nhóm người dùng:
- Từ trình đơn chính, vào User & Authentication > User Definition để tạo local user tên sslvpnuser1.
- Vào User Groups để tạo nhóm người dùng tên Group_VPN_Users với thành viên là sslvpnuser1.
Cấu hình SSL VPN web portal:
- Từ trình đơn chính, vào VPN > SSL-VPN Portals
- Tạo mới một tunnel mode tên ClientVPN-Full-tunnel
- Disable Split Tunneling.
Cấu hình SSL VPN settings:
- Từ trình đơn chính, vào VPN > SSL-VPN Settings.
- Tại mục For Listen on Interface(s), chọn INTERNET (wan1).
- Đổi Listen on Port thành 10443 (hoặc tùy ý bạn).
- Chọn chứng thư cho Server Certificate. Mặc định là Fortinet_Factory.
- Tại Authentication/Portal Mapping, gán tunnel-access cho All Other Users/Groups. Tạo mới một Authentication/Portal Mapping cho nhóm người dùng Group_VPN_Users và gán ClientVPN-Full-tunnel
Cấu hình Policies cho SSL VPN:
Cấu hình policies cho phép remote user truy cập vào mạng nội bộ
- Từ trình đơn chính, vào Policy & Objects > Firewall Policy
- Nhấn Create New, đặt tên PVN_REMOTE-VPN_In.
- Đặt Incoming Interface là SSL-VPN tunnel interface(ssl.root).
- Đặt Outgoing Interface là LAN (internal).
- Tại phần Source, đặt Address là all và User là Group_VPN_Users.
- Đặt Destination là all, Schedule là always, Service là ALL, cuối cùng chọn Action là Accept. Nhấn OK.
Cấu hình policies cho phép remote user truy cập internet thông qua wan1
Từ trình đơn chính, vào Policy & Objects > Firewall Policy, nhấn Create New, đặt tên PVN_REMOTE-VPN_Out. Cấu hình tương tụ bên trên, ngoại trừ Outgoing Interface là INTERNET (wan1)
Cài đặt, cấu hình và kết nối SSL VPN bằng FortiClient
Tài FortiClient tại: https://www.fortinet.com/support/product-downloads
Kéo xuống dưới và chọn tải FortiClient VPN-only
Sau khi cài đặt xong phần mềm FortiClient trên máy tính người dùng, chọn Đồng ý điều khoản người dùng rồi nhấn Configure VPN và tạo mới kết nối SSL VPN như hình bên dưới
Nhập mật khẩu của user sslvpnuser1 rồi nhấn Connect, nhấn Yes để xác nhận chứng chỉ bảo mật khi được yêu cầu. Hoàn tất kết nối.
Chúc bạn thành công!
TOÀN TÂM sẵn sàng giải đáp mọi thắc mắc của bạn. Liên hệ ngay với chúng tôi !
