ใน FortiOS เวอร์ชัน 7.6.4 เป็นต้นไปทาง Fortinet ได้มุ่งเน้นไปที่ความปลอดภัยทางไซเบอร์เป็นหลัก ส่งผลให้การใช้งาน Remote Access ต้องปรับเปลี่ยน โดยมีการนำ SSL VPN ออก และเปลี่ยนมาใช้ IPsec VPN แทน เพื่อประสิทธิภาพ (Performance) ที่ดีขึ้นและลดความเสี่ยงจากการถูกโจมตีผ่านเว็บพอร์ต
บทความนี้จะไกด์วิธีการคอนฟิกแบบ Step-by-Step ทั้งฝั่งอุปกรณ์ Firewall และฝั่งเครื่องลูกข่ายอย่าง FortiClient เพื่อให้คุณสามารถใช้งาน VPN บน FortiGate ได้ต่อเนื่อง
สิ่งที่ต้องเตรียม
- FortiGate Firewall
- FortiClient Application
ในส่วนของ FortiGate เราจะเริ่มต้นการตั้งค่า User สำหรับเข้าใช้งานกันก่อนครับ
Step 1: ไปที่ User Definition และสร้าง user Type Local ขึ้นมา 1 user ครับ
Step 2: ไปที่ User Group และเพิ่ม User ที่เราสร้างเข้าไป (หากใครยังไม่มีให้สร้างขึ้นมาใหม่เป็น Group สำหรับ VPN นะครับ)
ในส่วนถัดไปเราจะมาโฟกัสการตั้งค่า VPN Tunnel กันนะครับ
Step 3: ไปที่ VPN>VPN Tunnels>Create new>Custom IPsec tunnel เพื่อสร้าง
Step 4: ตั้งค่า VPN Tunnel ของเราในส่วนของ Name และ Network
ส่วนของ Network
- IP version: IPv4
- Remote gateway: Dialup user
- Interface: เลือกขา Interface ที่จะใช้เป็น Remote Gateway
- Mode Config: เปิด on และเลือกเป็น IPv4
- Assign client IP: Range เพื่อกำหนดช่วง IP สำหรับ user ที่จะเข้ามาใช้
- IPv4 client IP range: ระบุเป็นช่วง IP ที่เราจะให้กับ User
- DNS เราสามารถเลือกได้ครับในที่นี้ใช้เป็น User System DNS
ส่วนที่เหลือในพาร์ทนี้เราสามารถใช้เป็นค่าตั้งต้นเดิมได้เลยครับ
Step 5: ตั้งค่า VPN Tunnel ในส่วนของ Authentication
- Method: Pre-shared Key
- Pre-shared key: ระบุ Pre-shared key ของเรา
- IKE: Version 2
- EAP: เปิด On และเลือก EAP identity request
- User group: Specify และเลือก VPN Group ที่เรามี
Step 6: ตั้งค่า VPN Tunnel ในส่วนของ Phase 1 proposal
- Encryption – authentication: AES256 – SHA256
- Diffie-Hellman groups: 14, 20, 21
Step 7: ตั้งค่า VPN Tunnel ในส่วนของ Phase 2 proposal ให้เรา Create new ขึ้นมา
- Name: ตั้งชื่อ
- Encryption – authentication: AES256 – SHA256
- Diffie-Hellman groups: 14, 20, 21
ส่วนที่เหลือในพาร์ทนี้เราสามารถใช้เป็นค่าตั้งต้นเดิมได้เลยครับ
Step 8: กด OK เพื่อยืนยันการตั้งค่า New VPN Tunnel
Step 9: สร้าง Policy สำหรับการใช้งาน VPN
- สร้าง Policy สำหรับการใช้งาน LAN โดย
- Name: ตั้งชื่อ
- Incoming interface: เลือกเป็น IPsec-VPN ของเราที่เป็น เป็น System Interface ที่ระบบสร้างขึ้นจากที่เราได้มีการสร้าง Tunnel
- Outgoing interface: เลือก LAN interface ของเรา
- Source IPsec-VPN Rage จะเป็น Address range ที่สร้างขึ้นสำหรับการใช้งานจาก IPsec ของเรา
- Destination เลือกเป็น Address LAN ที่เราต้องการให้เข้าถึง
- Service: ALL
- สร้าง Policy สำหรับการใช้งาน Internet
- Name: ชื่อ
- Incoming interface: เลือกเป็น IPsec-VPN
- Outgoing interface: เลือกเป็น Interface ขา WAN ของเรา
- Source: IPsec-VPN range
- Destination: all
- Service: ALL
Step 10: Seting บน FortiClient
- VPN: IPsec VPN
- Connection Name: ตั้งชื่อ
- Remote Gateway: ใช้ Interface Gateway ที่เราตั้งไปบน IPsec Tunnel
- Authentication Method: Pre-Shared key
- Pre-Shared key: ระบุให้ตรงกับบน FortiGate
- Authentication: Prompt on login
Advanced Settings
- VPN Settings
- IKE: Version 2
- Encapsulation: Auto
- Phase1
- IKE Proposal ตั้งเป็น AES256 และ SHA256 ทั้งคู่
- DH Group: 14, 20, 21
- Phase 2
- IKE Proposal ตั้งเป็น AES256 และ SHA256 ทั้งคู่
- DH Group: 14
จากนั้นกด Save
Step 11: ทดสอบใช้งาน
- เลือก VPN
- กรอก username/password
หากสำเร็จ เราจะเห็นว่า VPN สามารถ Connect ได้ และให้ลองทดสอบใช้ระบบภายในดูครับ
การหายไปของ SSL VPN ใน FortiOS รุ่นใหม่ๆ อาจทำให้หลายคนต้องปรับตัวกันสักพัก แต่การย้ายมาใช้ IPsec VPN คือทางเลือกที่ดีกว่าในระยะยาว ทั้งในเรื่อง Performance ของ Fortinet และความปลอดภัยที่มั่นใจได้มากกว่าเดิม
หวังว่าบทความนี้จะเป็นประโยชน์และแนวทางสำหรับผู้ใช้งาน FortiGate Firewall ไม่มากก็น้อยนะครับ หากมีปัญหาหรือข้อสงสัยสามารถติดต่อสอบถามข้อมูลเพิ่มเติมได้เลยครับ
