C. CẤU HÌNH THIẾT BỊ
14. VPN IPSEC CLIENT TO GATEWAY
14.1. Giới thiệu
Cũng giống như SSL VPN, IPSEC VPN Client sẽ tạo một tunnel giữa client và mạng riêng của công ty, tất cả traffic sẽ được mã hóa trên kênh kết nồi này. Điểm khác nhau giữa SSL VPN và IPSec VPN là giao thức kết nối và tầng hoạt động trong mô hình OSI.( IPSec hoạt động ở lớp Network còn SSL VPN hoạt động ở lớp Application).
14.2. Cấu hình
B1: Định nghĩa User & Group cho phép kết nối VPN Ipsec.
B2: Định nghĩa các lớp mạng (VPN Client network và Internal network). B3: Cấu hình VPN Ipsec bằng FortiGate Forticlient Wizard.
B4: Cấu hình Policy cho phép kết nối VPN. Thực hiện:
Các bước 1,2 tiến hành tạo user & group như trong phần cấu hình SSL VPN trên.
B3: Cấu hình VPN Ipsec bằng ForitGate Forticlient Wizard: Vào VPN IPSec
Auto Key (IKE) Create Forticlient VPN.
- Dial Up – FortiClient Windows, Mac and Android: Sử dụng cho các client chạy Hệ điều hành Windows, Mac, Android.
- Dial Up – iPhone/iPad Native Ipsec Client: Sử dụng cho các client chạy HĐH iOS.
Next.
- Pre-shared Key: Nhập khóa bảo mật khi kết nối VPN. - User Group: Chọn group user đã tạo ở bước 1.
87/94
Báo
Next
- Local Outgoing Interface: Chọn interface kết nối ra internet.
- Address Range: Nhập dãy địa chỉ IP sẽ cấp phát cho client khi quay VPN. - Subnet Mask: Nhập Subnet Mask cho lớp địa chỉ client.
- DNS Server: Có thể chọn nhận DNS từ FortiGate (Use System DNS) hoặc tự chỉ định DNS server cho Client ( Specify).
- Enable Ipv4 Split Tunnel: Enable tùy chọn này sẽ cho phép các traffic thông thường của client (vd: Internet) sẽ đi theo đường route thông thường, không đi qua Gateway của VPN. Điều này giúp giảm băng thông cho đường truyền.
- Accessible Networks: Chọn lớp mạng internal đã được định nghĩa ở bước 2. Đây là lớp mạng cho phép client truy cập đến sau khi quay VPN.
Done.
Kết quả sau khi tạo IPSec VPN bằng Forticlient Wizard:
88/94
Báo
89/94
Báo
B4: Cấu hình Policy cho phép kết nối VPN: Vào Policy Policy Create new.
- Policy Type: Firewall. - Policy Subtype: Address.
- Incoming Interface: Chọn Interface VPN Ipsec đã tạo ở bước 3. - Source Address: Chọn all.
- Outgoing Interface: Chọn interface local.
- Destination Address: Chọn dãy địa chỉ IP mạng local đã định nghĩa ở bước 2. - Service: All.
- Action: Accept.
90/94
Báo
Chú ý:
- Policy này phải được đặt lên trên các policy khác cùng Source Interface và Destination Interface (Kể cả policy SSL VPN).
- Để kết nối VPN Ipsec, client phải cài phần mềm FortiClient.
+ Cấu hình FortiClient cho phép Client kết nối VPN:
Download phần mềm FortiClient tại www.forticlient.com (hỗ trợ theo từng HĐH). Cài đặt phần mềm FortiClient lên máy client.
Cấu hình:
- Mở FortiClient, vào Remote Access, chọn Add New Connection như hình dưới.
91/94
Báo
Tiếp tục điền các thông số sau:
- Connection Name: Đặt tên cho kết nối.
- Type: Chọn IPSec VPN (Forticlient hỗ trợ cả SSL VPN). - Remote Gateway: Nhập địa chỉ IP của FortiGate VPN Server.
- Authentication Method: Chọn Pre-shared Key và nhập mã bảo mật đã cấu hình ở bước 4 ở trên.
92/94
Báo
Điền user và password để xác thực -> Connect.
93/94
Báo
Cáo Đồ Án Thực Tập Tốt Nghiệp GVHD: HUỲNH ĐỆ THỦ SVTT: VŨ DUY TÂN – MSSV: 1051150040
Để quan sát các kết nối VPN SSL, IPSec Site to Site, IPSec Client ta có thể vào VPN -> Monitor: