How to Configure SSL VPN Tunnel on Fortigate Firewall

สวัสดีครับทุกท่าน
บทความนี้จะเขียนถึงวิธีการตั้งค่าการสร้าง SSL-VPN บน Fortigate Firewall ครับ

ซึ่งจะเป็นการตั้งค่าเบื้องต้น เพื่อให้สามารถใช้งาน SSL-VPN ได้เท่านั้น !! (รายละเอียดเรื่องการปรับจูนส่วนต่าง ๆ เช่น IP Address, การสร้าง User หรือการ Allow ในส่วน ๆ ที่สามารถปรับจูนได้ ผมจะไม่ได้อธิบายไว้นะครับ)

ปล. บทความนี้อ้างอิงกับ FortiOS 6.0 แต่สามารถนำไปอ้างอิงกับ FortiOS เวอร์ชั่นอื่น ๆ ได้ครับ Concept จะคล้าย ๆ กัน

ขั้นตอนการสร้าง SSL VPN Tunnel มีดังนี้ครับ
1. Create the SSL VPN Portal
การสร้างเข้าใช้งาน VPN เรามีความจำเป็นต้องสร้าง Tunnel เพื่อเป็นเส้นทางเสมือน (Virtual) สำหรับใช้ติดต่อระหว่าง Client PC ของเรา กับ Fortigate Firewall เส้นทางดังกล่าวนี้จะมีความปลอดภัยด้วยเทคโนโลยีการเข้ารหัสของข้อมูลก่อนที่จะส่งหากัน (ระหว่าง Client PC กับ Firewall) เนื่องจากลักษณะการใช้งาน VPN เป็นการใช้งานผ่าน Public Internet จึงมีความจำเป็นต้องทำการเข้ารหัสเพื่อความปลอดภัยของข้อมูล โดยการใช้งาน VPN บน Fortigate Firewall จะสามารถเข้าใช้งานได้ 2 Mode คือ

- Tunnel Mode
- Web Mode (Optional)

โดยการสร้าง Mode ต่าง ๆ สามารถทำได้ดังนี้ครับ
- แทบด้านซ้ายมือ เลือกที่หัวข้อ VPN > SSL-VPN Portals

- ดำเนินการแก้ไขโปรไฟล์ full-access โดย Double-Click ที่หัวข้อ full-access

การสร้าง Tunnel Mode

- ดำเนินการ Enable หัวข้อ Tunnel Mode

- ภายใต้หัวข้อ Tunnel Mode ดำเนินการเพิ่ม Source IP Address Pools โดยกดที่เครื่องหมายบวก (+)

- เลือก Object ชื่อ SSLVPN_TUNNEL_ADDR1 (Default Object สำหรับสร้าง VPN)

ปล. สามารถสร้าง Object ขึ้นมาใหม่ และสามารถกำหนดหมายเลข IP Address Pools ใหม่ได้ โดยการกดที่เครื่องหมาย (+) หรือจะดำเนินการเปลี่ยนช่วงของหมายเลข IP Address Pools ของ Default Object โดยการกดที่เครื่องหมาย (รูปดินสอ) เพื่อแก้ไข

การสร้าง Web Mode (Optional)

- ดำเนินการ Enable หัวข้อ Enable Web Mode

- ที่หัวข้อ Theme สามารถเลือกสีของ Theme ที่จะใช้งาน SSL-VPN บนหน้า Web ได้

2. Create the SSL VPN Tunnel

- แทบด้านซ้ายมือ เลือกที่หัวข้อ VPN > SSL-VPN Settings

- ภายใต้หัวข้อ Connection Settings ดำเนินการตั้งค่าดังต่อไปนี้

Listen on Interface(s) : เลือก Interface ที่จะอนุญาตให้ Access ผ่าน SSL-VPN ได้

Listen on Port              : Default Port จะเป็น 443 (แนะนำให้ตั้งหมายเลข Port ใหม่)

Restrict Access            : อนุญาตให้สามารถ Access ได้จาก Host ใดๆ (Allow accessfrom any host)

Server Certificate       : เลือก Default Certificate ของ Fortinet(Fortinet_Factory)

ปล. สามารถ VPN ผ่านทาง Web Browser ได้โดยการกรอก URL ที่แสดงในช่องสี่เหลี่ยมสีแดง ไปที่ Web Browser แล้วดำเนินการ Login

- ภายใต้หัวข้อ Tunnel Mode Client Settings ดำเนินการตั้งค่าดังต่อไปนี้

Address Range          : Specify custom IP ranges (กำหนด IP range)

IP Ranges : กดเครื่องหมายบวก (+) เลือก Object ชื่อ SSLVPN_TUNNEL_ADDR1 

                                      (Object นี้จำเป็นต้องสัมพันธ์กับ Object ที่เลือกในการสร้างTunnel  Mode ในหัวข้อ Source IP Pools)

DNS Server : Same as client system DNS (เมื่อเชื่อมต่อ VPN สำเร็จ ให้ใช้ DNS เดียวกันกับของ Firewall)

- ภายใต้หัวข้อ Authentication/Portal Mapping ดำเนินการเพิ่ม User Group ที่จะอนุญาตให้สามารถ Access ผ่านการ VPN ได้ โดยกดที่ (+ Create New)

- ภายใต้หัวข้อ New Authentication/Portal Mapping ดำเนินการตั้งค่าดังต่อไปนี้

User/Groups : กดเครื่องหมายบวก (+) เพื่อเพิ่ม Group User

Portal : เลือก full-access (โปรไฟล์ที่ดำเนินการแก้ไขในขั้นตอนของการสร้าง Portal)

- ดำเนินการเลือกเปลี่ยนโปรไฟล์ของ All Other Users/Groups ให้เป็น full-access

3. Create Security Policy
- เมื่อ Remote User ดำเนินการใช้ VPN เข้ามายัง Network จะเปรียบเสมือน Remote User นั้นยืนอยู่ที่บน Interface ssl.root (ssl.root เป็น Interface ที่ถูกสร้างขึ้นมาบน SSL-VPN Portal เพราะฉะนั้น Remote จะอยู่ภายใน SSL-VPN Tunnel Zone)
- ดำเนินการสร้าง Policy เพื่ออนุญาตให้ Remote User สามารถไปยัง Destination Zone ได้ 

- แทบด้านซ้ายมือ เลือกที่หัวข้อ Policy & Objects > IPv4 Policy

- จากนั้น ดำเนินการสร้าง Policy โดยกดที่ (+ Create New)

- ภายใต้หัวข้อ New Policy ดำเนินการตั้งค่าดังต่อไปนี้

Name : กำหนดชื่อของ Policy (ควรกำหนดชื่อให้สอดคล้องกับลักษณะการใช้งาน Policy)

Incoming Interface : SSL-VPN tunnel interfare (ssl.root) (Tunnel Interface นี้จะถูกสร้างขึ้นหลังจากที่กำหนด

                                ค่าในหัวข้อ SSL VPN Tunnel เสร็จเรียบร้อย)

Outgoing Interface : กำหนด Interface ของ Destination Zone (ในที่นี้จะกำหนดให้เป็น Interface VLAN201) 

                                โดยหลังจากการ Access ผ่าน VPN แล้ว Remote Client จะเข้ามาอยู่ภายใน Network ของ 

                                VLAN201

Source : กำหนด IP Address จากต้นทาง (all)

: กำหนด User Group ที่ใช้ในการ Access

Destination : กำหนด IP Address ปลายทาง (all)

Service : กำหนด Service ที่สามารถใช้งานผ่าน Policy นี้ได้ (ALL)

Action : เมื่อเข้าเงื่อนไขของ Policy จะอนุญาต (ACCEPT) ให้ใช้งาน Policyนี้ได้

การสร้าง Policy ข้างต้น หมายถึงการสร้าง Policy ให้ Remote User (หรือ Interface ssl.root) สามารถไปยัง Destination Zone ได้ 

ปล. กรณีที่ใช้งาน VPN และไม่สามารถใช้งาน Internet ได้ ให้ดำเนินการสร้าง Policy โดยกำหนดให้ Source เป็น ssl.root และ Destination เป็น Internet Zone)

สามารถทำความเข้าใจเพิ่มเติมได้จาก Video ด้านล่างนี้ครับ

จบแล้วครับสำหรับวิธีการสร้าง SSL VPN Tunnel สำหรับ Fortigate Firewall ที่เวอร์ชั่น FortiOS 6.0 บทความอาจจะยาวไปสักหน่อย ซึ่งผมมีความตั้งใจที่จะเขียนให้ละเอียดที่สุด เพื่อทุกท่านสามารถนำไปใช้เป็นคู่มือสำหรับตั้งค่า SSL VPN ได้ด้วยตัวเอง

ขอบคุณมากครับผม

Network Society