Việt Nam 
English 
/file/media/uploads/article/ftg.jpg)
FortiGate là gì? Dùng để làm gì trong hệ thống doanh nghiệp?
Bài này giúp bạn hiểu nhanh vai trò của FortiGate trong một hệ thống mạng doanh nghiệp. Không cần biết sâu IT vẫn theo được, nhưng IT triển khai vẫn thấy “đúng bài”.
Đọc thêm DHCP IP Address Reservation cho Dial-up IPsec VPN (IKEv1)
🛡️ Fortigate NH • Technical Tip
DHCP IP Address Reservation cho Dial-up IPsec VPN (IKEv1)
Hướng dẫn cấu hình DHCP IP Reservation cho Dial-up IPsec VPN (IKEv1) trên FortiGate, giúp client luôn nhận IP cố định theo MAC Address.
1. Mô tả
Bài viết này hướng dẫn các bước tạo DHCP IP address reservation cho Dial-up IPsec VPN sử dụng IKEv1.
2. Bối cảnh & mục tiêu
🎯 Hiểu đúng mục tiêu
- Ở bài trước, các bạn có thể chặn SSL VPN theo MAC Address bằng cơ chế host-check (FortiClient gửi MAC, FortiGate kiểm tra và cho phép/không cho phép kết nối).
- Với Dial-up IPsec, tip trong bài này không phải “MAC host-check”, mà là ràng buộc việc cấp IP qua DHCP theo MAC (DHCP reservation).
💡 Tip vận hành hay gặp
Thực tế, client vẫn tạo được tunnel IPsec nhưng không nhận được IP từ DHCP (DHCP over IPsec). Khi không có IP, client sẽ không truy cập được tài nguyên nội bộ (policy/route không match), và đây chính là lý do tip này rất hữu ích để xử lý nhanh.
🔒 Lưu ý về bảo mật
Cơ chế “không cấp IP/không match IP reservation” chỉ nên xem như một lớp kiểm soát/ổn định vận hành, không thay thế các phương án xác thực mạnh ở cấp người dùng/thiết bị.
3. Gợi ý tăng cường bảo mật (khuyến nghị)
Nếu mục tiêu của bạn là tăng bảo mật user, có thể cân nhắc:
- ✅ Bật MFA cho user VPN (ví dụ FortiToken/FortiAuthenticator hoặc TOTP tuỳ hệ thống)
- ✅ Dùng certificate-based authentication (user cert hoặc machine cert) để ràng buộc theo PKI
- ✅ Phân quyền theo user group và policy theo vai trò (least privilege)
- ✅ Bật giám sát/log và cảnh báo bất thường (VPN events, failed auth, tunnel-down)
4. Phạm vi áp dụng
- ✅ FortiGate
5. Cấu hình bằng GUI
Trong ví dụ này, Dial-up IPsec VPN tunnel đã được tạo sẵn bằng IPsec Wizard.
5.1 Bật DHCP Server trên tunnel interface
Truy cập: Network → Interfaces → Edit tunnel interface
Áp dụng các thông số sau:
- IP: 172.16.1.100
- Remote IP/Netmask: 172.16.1.100 / 255.255.255.0
- Enable DHCP Server
- Address Range: 172.16.1.1 – 172.16.1.20
- Netmask: 255.255.255.0
5.2 Cấu hình IP Address Assignment Rules
Mở rộng mục Advanced → chọn Type: IPsec → vào IP Address Assignment Rules → chọn Create New.
Thiết lập:
- Type: MAC Address
- MAC address: MAC của card mạng vật lý (Ethernet/WiFi)
- Action Type: Reserve IP
- IP: Bất kỳ IP nào trong dải DHCP
⚠️ Lưu ý
MAC Address phải là local adapter (Ethernet/WiFi), không phải Fortinet SSL VPN Virtual Adapter.
5.3 Xác nhận OK
5.4 Tắt Mode Config trong Phase 1
5.5 Bật DHCP over IPsec (Phase 2)
Bật DHCP over IPsec trong Phase 2 bằng CLI:
config vpn ipsec phase2-interface
edit "FC1"
set phase1name "FC1"
set dhcp-ipsec enable
next
end5.6 Cấu hình FortiClient
Trong FortiClient, bật DHCP over IPsec tại phần Advanced Settings.
ℹ️ Ghi chú
Đây là tuỳ chọn legacy và chỉ hoạt động với IKEv1.
⚠️ Lưu ý về Split Tunnel
Nếu bật Enable IPv4 Split Tunnel, chỉ traffic tới mạng mong muốn mới đi qua tunnel. Nếu tắt, toàn bộ traffic của client sẽ bị forward qua tunnel.
6. Cấu hình bằng CLI
6.1 Cấu hình DHCP Server trên IPsec interface
config system dhcp server
edit 3
set dns-service default
set default-gateway 172.16.1.100
set netmask 255.255.255.0
set interface "FC1"
config ip-range
edit 1
set start-ip 172.16.1.1
set end-ip 172.16.1.20
next
end
set server-type ipsec
config reserved-address
edit 1
set ip 172.16.1.1
set mac 00:0c:29:17:70:98
next
end
next
end6.2 Tắt Mode Config (Phase 1)
config vpn ipsec phase1-interface
edit FC1
set mode-cfg disable
next
end6.3 Bật DHCP over IPsec (Phase 2)
config vpn ipsec phase2-interface
edit "FC1"
set phase1name "FC1"
set dhcp-ipsec enable
next
end7. Kết quả
IP cố định (reserved IP) sẽ được cấp cho client có MAC Address khớp với cấu hình.
8. Lưu ý & cập nhật kỹ thuật
- Khi mode-cfg bị disable, split tunneling sẽ không hoạt động vì
ipv4-split-includekhông khả dụng. - Cập nhật kỹ thuật: Không dùng IP do Wizard gán để tránh lỗi.
Bài viết liên quan
/file/media/uploads/article/cover.png)
Hướng dẫn truy cập FortiGate lần đầu (GUI & CLI)
Mục tiêu của bài này là giúp bạn truy cập được FortiGate ngay lần đầu, đổi mật khẩu an toàn, và sẵn sàng cho bước cấu hình Internet ở bài tiếp theo. Bài viết ưu tiên thao tác thực tế, dễ làm, không rối thuật ngữ.
Đọc thêm /file/media/uploads/wan-fortigate.png)
Cấu hình WAN cơ bản trên FortiGate (PPPoE · DHCP · IP tĩnh)
Bài này hướng dẫn cấu hình kết nối Internet cho FortiGate theo 3 trường hợp phổ biến nhất. Làm đúng bài này sẽ giúp bạn đi tiếp mượt sang Bài 4 (LAN & DHCP) và Bài 5 (Policy LAN ra Internet).
Đọc thêm /file/media/uploads/network-interface.jpg)
Cấu hình LAN & DHCP trên FortiGate
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đọc thêm /file/media/uploads/firewall-policy.jpg)
Cấu hình Firewall Policy cho LAN ra Internet trên FortiGate
Đây là bước “mở Internet” cho mạng nội bộ. Dù WAN và LAN đã cấu hình đúng, nếu thiếu Firewall Policy hoặc NAT, máy trong LAN vẫn không thể truy cập Internet. Bài này giúp bạn hiểu rõ và cấu hình đúng ngay lần đầu.
Đọc thêm /file/media/uploads/web-filter.jpg)
Web Filter cơ bản trên FortiGate - Chặn web xấu & quản lý truy cập Internet
Sau khi LAN đã ra Internet (Bài 5), bước tiếp theo là kiểm soát người dùng truy cập web gì. Web Filter giúp chặn website độc hại, nội dung không phù hợp và là tính năng “ăn điểm” nhất khi demo FortiGate cho khách hàng.
Đọc thêm /file/media/uploads/app-control.png)
Application Control cơ bản trên FortiGate - Quản lý Facebook, YouTube, TikTok theo chính sách
Sau khi đã kiểm soát website bằng Web Filter (Bài 6), bước tiếp theo là kiểm soát ứng dụng. Application Control giúp doanh nghiệp quản lý các app “ngốn thời gian” (Social, Streaming) hoặc rủi ro (P2P, Remote tools), mà vẫn giữ trải nghiệm Internet ổn định cho công việc.
Đọc thêm /file/media/uploads/antivirus.jpg)
/file/media/uploads/ssl-inspection.png)
SSL Inspection trên FortiGate - Hiểu đúng trước khi bật
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
Đọc thêm /file/media/uploads/vpn-client-to-site.jpg)
VPN Remote Access trên FortiGate
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm /file/media/uploads/ipsec-vpn.jpg)
VPN Site-to-Site (IPsec) trên FortiGate
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Đọc thêm /file/media/uploads/ha.jpg)
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm