Hướng dẫn cấu hình VPN Site to Site Firewall Fortigate

Chúng ta sử dụng mô hình đơn giản gồm có 2 site, site Hà nội và HCM:

1. Site Hà nội bao gồm :

• Dải IP local gồm 192.168.1.0/24 và 192.168.10.0/24 có thể thêm nhiều dải tương tự.
• IP địa chỉ wan 10.20.1.10,

1. Site HCM bao gồm:

• Dải IP local là 172.17.20.0/24 và 172.17.20.0/24
• IP wan là 10.20.1.20

Lưu ý: Cả 2 site đều sử dụng firewall Fortigate. Nếu site remote sử dụng các thiết bị hãng khác như Cisco, Juniper, Palo Alto, Sophos, Sonicwall... thì các bạn vẫn làm tương tự, chỉ cần thiết lập đúng các thông số VPN là được.
Chúng ta sẽ cấu hình 1 VPN tunnel giữa Hà Nội và HCM để các máy tính giữa 2 site có thể ping được nhau.
Trong bài này chúng ta sẽ sử dụng IPSec Wizard để tạo tunnel, sau đó convert tunnel này sang Custom để thay đổi các thông số VPN. Làm theo cách này chúng ta sẽ không cần tạo policy, route cho VPN, mà các cấu hình này sẽ được tạo tự động.
Cấu hình VPN Site to Site Tunnel
Trên giao diện web của firewall HCM, truy cập vào menu: VPN > Ipsec Wizard, tại đây các bạn thiết lập các thông số cơ bản cho VPN.

• Name: đặt tên cho VPN tunnel ở đây ta đặt là : To-HaNoi
• Template type: chọn Site to Site.
• NAT configuration: chọn No NAT between sites. Nếu phía trước Firewall có 1 thiết bị router chạy NAT thì các bạn chọn mục này là This site is behind NAT, sau đó các bạn cần mở 2 Port UDP 500 và UDP 4500 trên thiết bị NAT.
• Remote Device Type: các bạn vẫn chọn Fortigate ở mục này.

Nhấn Next, sau đó thiết lập các thông số Authentication cho VPN Tunnel:

• Remote Device: chọn IP Address nếu IP Wan là IP tĩnh. Nếu IP động các bạn có thể cấu hình DDNS và chọn mục này là Dynamic DNS.
• Remote IP Address: nhập địa chỉ IP WAN của site remote, trong mô hình của chúng ta là 10.20.1.10 chính là IP site Hà Nội.
• Outgoing Interface: chọn cổng WAN muốn kết nối đến
• Authentication method: chọn phương thức xác thực, trong trường hợp của chúng ta là Pre-shared Key. Nhập thông tin khóa kết nối ( khóa này nhập giống site bên Hà nội)

Nhấn Next, thiết lập các dải mạng của 2 site cho VPN:

• Local Interface: chọn cổng mạng kết nối xuống dải mạng LAN đang VPN.
• Local Subnets: nhập dải mạng local, trong mô hình của chúng ta là 172.17.1.0/24 và 172.17.20.0/24. Nếu có nhiều dải mạng, các bạn có thể nhấn dấu + và nhập thêm các VLAN khác vào.
• Remote Subnets: nhập dải mạng LAN của site remote. ở đây nhập 192.168.10.0/24 là giải mạng lan của site Hà nội
• Internet Access: mục này chúng ta có 3 tùy chọn. Tùy chọn None thì chỉ có traffic giữa các dải LAN của VPN mới đi qua tunnel, còn traffic truy cập internet sẽ không phụ thuộc vào VPN. Tùy chọn Share Local thì traffic truy cập internet của site Hà Nội sẽ đi qua VPN tunnel và sử dụng đường Wan của site HCM để ra internet. Tương tự với tùy chọn Use Remote sẽ sử dụng đường WAN của site remote.

Nhấn Next, sau đó nhấn Create để tạo VPN Tunnel.
 

Sau khi tạo VPN tunnel bằng wizard, vào phần Firewall Policy, chúng ta sẽ thấy Fortigate đã tạo sẵn 2 Policy cho VPN tunnel. Nếu các bạn muốn thay đổi chính sách thì chỉ cần edit các policy này là xong. Nếu cấu hình Custom ngay từ đầu, chúng ta sẽ phải tự tạo các Policy này.
 

Static Route cũng được tạo tự động cho VPN Tunnel.
 

Tương tự chúng ta sẽ cấu hình 1 VPN tunnel trên Firewall Hà Nội, các thông số của VPN Tunnel chúng ta cần thiết lập tương tự như Site HCM.