Cấu hình VPN Site to Site với Firewall FortiGate

I. Giới thiệu
Bài viết này hướng dẫn cách cấu hình VPN Site to Site trên Firewall Fortigate với Firmware Ver 5.0. Nhằm giúp mọi người có thêm tài liệu tham khảo cũng như làm quen với giao diện cấu hình và các tính năng, thiết bị của FortiGate. Trong bài này ta sử dụng mô hình sau.

Để cấu hình Ip Sec VPN ta thực hiện 7 bước:
– Tạo Phase 1 và Phase 2 trên Fortigate ở trung tâm.
– Thêm lớp mạng cục bộ của trung tâm và lớp mạng của chi nhánh trên Fortigate ở trung tâm.
– Thiết lập các chính sách trên thiết bị ở trung tâm.
– Tạo Phase 1 và Phase 2 trên Fortigate ở chi nhánh.
– Thêm lớp mạng cục bộ của chi nhánh và lớp mạng của trung tâm trên Fortigate ở chi nhánh.
– Thiết lập các chính sách trên thiết bị ở chi nhánh.
– Kiểm tra.
II. Triển khai.
Chuẩn bị.
Để triển khai cấu hình VPN Site to Site ta cần có hai thiết bị Fortigate và hai PC dùng để giả lập mạng nội bộ. Trước tiên ta đặt IP cho thiết bị theo mô hình trên.
Trên Fortigate tại trung tâm.

Trên Fortigate tại chi nhánh.

Sau đó đặt IP cho các PC trùng với lớp mạng của trung tâm /chi nhánh để giả lập mạng nội bộ của hai site.
Các bước cấu hình như sau:
Bước 1: Ta vào VPN -> IP Sec -> Auto Key (IKE). Nhấn Create New Phase 1 và khai báo các thông số:

Trong phần VPN > IPsec > Auto Key (IKE). Chọn Create New Phase 2.

Bước 2: vào Firewall Objects > Address > Address để thêm lớp mạng nội bộ của trung tâm và của chi nhánh trên Fortigate tại trung tâm.

Bước 3: Ta vào Policy > Policy > Policy để thiết lập chính sách.
Nhấn Create New, chọn qua kiểu là VPN. Khai báo như hình dưới sau đó nhấn OK.

Bước 4: Tạo hai Phase trên Fortigate ở chi nhánh. Vào VPN > IPsec > Auto Key (IKE).
Chọn Create New Phase 1.

Chọn tiếp VPN > IPsec > Auto Key (IKE). Click vào Create New Phase 2.

Bước 5: Vào Firewall Objects > Address > Address để thêm lớp mạng nội bộ của chi nhánh và của trung tâm trên Fortigate ở chi nhánh.

Bước 6: Thiết lập chính sách trên thiết bị ở chi nhánh.

Bước 7: Các bước cấu hình đã xong, ta vào phần VPN > Monitor > IPSec Monitor để kiểm tra. Mũi tên trong cột status chỉ lên và có màu xanh là kết nối VPN đã được thiết lập và hoạt động, nếu mũi tên chỉ xuống và có màu đỏ là kết nối thất bại.

Chúc các bạn thành công.