Blog

CẤU HÌNH SSL VPN WEB TUNNEL MODE

NetworkPro hướng dẫn cho bạn cách cấu hình SSL VPN Fortinet chế độ Web Tunnel Mode Trên Firewall Fortigate đơn giản.

Trong ví dụ này, bạn sẽ cho phép người dùng từ xa truy cập vào mạng công ty bằng SSL VPN, kết nối bằng chế độ web bằng trình duyệt web hoặc chế độ Tunnel bằng FortiClient.

Chế độ Web cho phép người dùng truy cập tài nguyên mạng, chẳng hạn như AdminPC được sử dụng trong ví dụ này.

Định cấu hình SSL VPN trong Fortigate

Đối với người dùng kết nối qua chế độ tunnel, lưu lượng truy cập Internet cũng sẽ chuyển qua FortiGate, để áp dụng tính năng quét bảo mật cho lưu lượng này. Trong giai đoạn kết nối, FortiGate cũng sẽ xác minh rằng phần mềm chống vi-rút của người dùng từ xa đã được cài đặt và cập nhật hay chưa.

Công thức này nằm trong bộ sưu tập mạng FortiGate Cơ bản. Bạn cũng có thể sử dụng nó như một công thức độc lập.

Chỉnh sửa cổng SSL VPN

Bước 1: Để chỉnh sửa cổng SSL VPN toàn quyền truy cập, hãy đi tới VPN > SSL-VPN Portals. Cổng toàn quyền truy cập cho phép sử dụng chế độ Tunnel và chế độ web.

Bước 2: Trong Chế độ Tunnel, hãy tắt Enable Split Tunneling cho cả lưu lượng IPv4 và IPv6 để đảm bảo tất cả lưu lượng truy cập Internet sẽ đi qua FortiGate.

Bước 3: Đặt Pools IP nguồn để sử dụng dải IP mặc định SSLVPN_TUNNEL_ADDR1.

full-access SSL VPN portal

Bước 4: Trong Enable Web Mode, tạo Predefined Bookmarks cho bất kỳ tài nguyên nội bộ nào mà người dùng SSL VPN cần truy cập. Trong ví dụ, dấu trang cho phép người dùng từ xa truy cập RDP vào máy tính trong mạng nội bộ.

create Predefined Bookmarks

Cấu hình SSL VPN Tunnel 

Bước 1: Để định cấu hình Tunnel SSL VPN, hãy đi tới VPN> Cài đặt SSL-VPN.

Bước 2: Đặt Listen on Interface(s)wan1. Để tránh xung đột cổng, hãy đặt Listen on Port thành 10443.

Bước 3: Đặt Restrict Access (Quyền truy cập hạn chế) thành Allow access from any host

Theo tùy chọn, đặt Restrict Access thành Limit access to specific hosts và chỉ định địa chỉ của các máy chủ được phép kết nối với VPN này.

Bước 4: Trong ví dụ, chứng chỉ Fortinet Factory được sử dụng làm Server Certificate. Để đảm bảo rằng lưu lượng truy cập được an toàn, bạn nên sử dụng chứng chỉ do CA ký của riêng bạn. Để biết thêm thông tin về cách sử dụng chứng chỉ, hãy xem Ngăn cảnh báo chứng chỉ (chứng chỉ do CA ký).

Bước 5: Trong Tunnel Mode Client Settings, đặt Dải IP để sử dụng dải IP mặc định SSLVPN_TUNNEL-ADDR1

configuring_tunnel

Bước 6: Trong Authentication/Portal Mapping, bấm Create New để thêm nhóm người dùng Employee và ánh xạ nhóm đó vào cổng toàn full-access.

Bước 7: Nếu cần, hãy lập bản đồ một cổng thông tin cho All Other Users/Groups.

configuring_tunnel_2

Xác minh hệ điều hành và phần mềm của người dùng từ xa

Để xác minh rằng người dùng từ xa đang sử dụng các thiết bị cập nhật để kết nối với mạng của bạn, bạn có thể định cấu hình kiểm tra máy chủ cho cả hệ điều hành (được hỗ trợ cho Windows và Mac OS) và phần mềm.

Bạn có thể cấu hình kiểm tra máy chủ hệ điều hành cho các phiên bản hệ điều hành cụ thể. Việc kiểm tra này bao gồm các tùy chọn sau: cho phép thiết bị kết nối, chặn thiết bị hoặc kiểm tra xem hệ điều hành có được cập nhật hay không. Hành động mặc định cho tất cả các phiên bản hệ điều hành là cho phép.

Máy chủ lưu trữ phần mềm có thể xác minh xem thiết bị có phần mềm Chống vi rút được Trung tâm Bảo mật Windows công nhận, phần mềm tường lửa được Trung tâm Bảo mật Windows công nhận hay không hay cài đặt tùy chỉnh.

Định cấu hình cả hai lần kiểm tra bằng CLI:

config vpn ssl web portal

edit full-access

set os-check enable

config os-check-list {macos-high-sierra-10.13 | macos-sierra-10.12 | os-x-el-capitan-10.11 | os-x-mavericks-10.9 | os-x-yosemite-10.10 |windows-7 | windows-8 | windows-8.1 | windows-10 | windows-2000 | windows-vista | windows-xp}

set action {deny | allow | check-up-to-date}

end

set host-check {av | fw | av-fw| custom}

end

Kiểm tra kết quả

Các bước để kết nối với SSL VPN khác nhau tùy thuộc vào việc bạn đang sử dụng trình duyệt web hay FortiClient.

Trình duyệt web

Bước 1: Sử dụng trình duyệt Internet được hỗ trợ, kết nối với cổng web SSL VPN bằng cổng từ xa được định cấu hình trong cài đặt SSL VPN (trong ví dụ: https://172.25.176.62:10443).

Bước 2: Đăng nhập vào SSL VPN.

Đăng nhập vào SSL VPN

Bước 3: Sau khi xác thực, bạn có thể truy cập Cổng SSL-VPN . Từ cổng này, bạn có thể khởi chạy hoặc tải xuống FortiClient, truy cập Bookmarks hoặc kết nối với các tài nguyên khác bằng công cụ Quick Connection.

truy cập Cổng SSL-VPN

Trong ví dụ này, việc chọn dấu trang sẽ cho phép bạn kết nối với AdminPC.

kết nối với AdminPC.

Bước 4: Để kết nối với Internet, hãy chọn Quick Connection. Chọn HTTP / HTTPS, sau đó nhập URL và chọn Khởi chạy.

kết nối với Internet

Bước 5: Để xem danh sách người dùng hiện được kết nối với SSL VPN, hãy đi tới Monitor > SSL-VPN Monitor. Người dùng được kết nối với VPN.

Bước 6: Nếu một thiết bị từ xa không kiểm tra được hệ điều hành hoặc máy chủ, một thông báo cảnh báo sẽ xuất hiện sau khi xác thực thay vì cổng thông tin.

thông báo cảnh báo

FortiClient

Bước 1: Nếu bạn chưa làm như vậy, hãy tải xuống FortiClient từ www.forticlient.com.

Bước 2: Mở FortiClient Console và đi tới Remote Access . Thêm một kết nối mới.

Bước 3: Đặt VPN Type thành SSL VPN, đặt Remote Gateway thành IP của giao diện FortiGate đang nghe (trong ví dụ là 172.25.176.62). Chọn Customize Port và đặt nó thành 10443.

Bước 4: Chọn Add.

FortiClient

Bước 5: Đăng nhập vào SSL VPN.

Đăng nhập vào SSL VPN.

Bước 6: Bạn có thể kết nối với Tunnel VPN.

Bạn có thể kết nối với đường hầm VPN.

Bước 7: Để xem danh sách người dùng hiện được kết nối với SSL VPN, hãy đi tới Monitor > SSL-VPN Monitor. Người dùng được kết nối với VPN.

xem danh sách người dùng hiện được kết nối với SSL VPN

Kết luận

Trên đây là hướng dẫn chi tiết cách để bạn có thể cấu hình SSL VPN Fortigate trên thiết bị tường lửa Fortinet. Cảm ơn bạn đã xem hết bài viết này và đừng quen chia sẻ nó đến với những người khác nữa nhé!

Tin tức liên quan

x