Việt Nam 
English 
/file/media/uploads/article/ftg.jpg)
FortiGate là gì? Dùng để làm gì trong hệ thống doanh nghiệp?
Bài này giúp bạn hiểu nhanh vai trò của FortiGate trong một hệ thống mạng doanh nghiệp. Không cần biết sâu IT vẫn theo được, nhưng IT triển khai vẫn thấy “đúng bài”.
Đọc thêm FortiClient VPN đứng 40% sau khi nâng cấp FortiOS - Cách xử lý nhanh trong 30 giây
CẨM NANG CỨU HỘ VPN
FortiClient VPN đứng 40% sau khi nâng cấp FortiOS – Cách xử lý nhanh trong 30 giây
Bài này dành cho anh em cần xử lý nhanh, không lan man. Làm theo đúng 1 chỗ là thường hết lỗi ngay.
Giải pháp 30 giây (làm trước, hiểu sau)
Nếu FortiClient VPN đứng ở 40% và hệ thống đang dùng SAML với Microsoft Entra ID (Azure AD), hãy kiểm tra ngay phần ký SAML phía IdP.
Trong Microsoft Entra ID, tại ứng dụng FortiClient hoặc FortiGate SSL VPN, vào SAML Signing Certificate và bật:
Sign SAML response and assertionTrong rất nhiều hệ thống thực tế, chỉ cần chỉnh đúng mục này là VPN vào được ngay, không cần thay đổi firewall hay user.
Triệu chứng: 40% Liên quan: SAML IdP: Entra ID
DẤU HIỆU NHẬN BIẾT
- FortiClient chạy tới Status: 40% rồi đứng
- Có thể báo Credential or SSLVPN configuration is wrong (-7200)
- Hoặc Firewall Authentication Failed
- Xác thực SAML xong nhưng bị đá ngược lại trang login
Dễ bị hiểu nhầm là lỗi firewall, policy, user hoặc VPN profile.
Vì sao lỗi này hay gây nhầm lẫn?
Điểm khó của lỗi FortiClient đứng 40% là nó không báo lỗi rõ ràng. Nhìn bên ngoài giống như sai user hoặc sai cấu hình VPN, nên nhiều người sẽ đi kiểm tra firewall, policy, group trước.
Trong khi thực tế, FortiGate vẫn hoạt động bình thường, vấn đề thường nằm ở phía Identity Provider.
IT thường làm gì đầu tiên?
Kiểm tra policy, group, VPN portal, user mapping.
Nhưng lỗi thật nằm ở đâu?
Ở tùy chọn ký SAML của IdP, đặc biệt là Entra ID.
Nguyên nhân thật sự nằm ở đâu?
Bắt đầu từ các phiên bản FortiOS mới như 7.2.12, 7.4.9, 7.6.4 trở lên, FortiGate thay đổi cách kiểm tra SAML.
Trước đây
Chỉ cần SAML Assertion được ký là FortiGate chấp nhận.
Sau khi nâng cấp
FortiGate yêu cầu cả SAML Response và SAML Assertion đều phải có chữ ký. Thiếu một trong hai là fail.
Khi đó, trong log debug của FortiGate thường xuất hiện các lỗi như:
- Signature element not found
- Failed to process response
- Failed to verify signature
Và bên phía người dùng, FortiClient sẽ đứng ở mốc 40%.
Cách xử lý cụ thể với Microsoft Entra ID
Lưu ý: Làm đúng thứ tự bên dưới, không cần “đoán”.
- Vào Microsoft Entra ID
- Chọn Enterprise Applications
- Mở ứng dụng FortiClient hoặc FortiGate SSL VPN
- Vào Single sign-on → chọn SAML
- Mở SAML Certificates
- Bấm Edit tại SAML Signing Certificate
- Ở Signing Option, chọn Sign SAML response and assertion
- Lưu lại và thử kết nối FortiClient
Trong đa số trường hợp, VPN sẽ hoạt động lại ngay sau bước này.
Vì sao chỉ cần chỉnh đúng một tùy chọn?
Bởi vì FortiGate kiểm tra chữ ký của toàn bộ SAML Response và đồng thời kiểm tra chữ ký bên trong SAML Assertion. Thiếu một trong hai, FortiGate không thể xác thực người dùng, dù user/password hoặc group mapping nhìn có vẻ đúng.
Điều đáng nói là lỗi này không hiển thị rõ cho người dùng, nên rất dễ bị xử lý sai hướng.
Một vài lưu ý khi triển khai thực tế
- Bật Sign SAML response and assertion là an toàn
- Có thể bật trước hoặc sau khi nâng cấp FortiOS
- Các phiên bản FortiOS cũ vẫn tương thích với cấu hình này
Nếu đã bật mà vẫn gặp lỗi, kiểm tra thêm:
- Certificate SAML có đúng và còn hạn không
- Thuật toán ký (nên dùng RSA-SHA256)
- Đồng bộ thời gian giữa FortiGate và IdP
Kết luận từ kinh nghiệm triển khai
Nếu FortiClient VPN đứng ở 40% sau khi nâng cấp FortiOS, đặc biệt khi dùng SAML với Microsoft Entra ID, đừng vội nghi ngờ firewall hay user.
Hãy kiểm tra cấu hình ký SAML phía IdP trước tiên. Rất nhiều hệ thống chỉ cần chỉnh đúng mục này là hoạt động lại bình thường.
Nếu lỗi SAML kiểu này lặp lại nhiều lần sau các đợt nâng cấp, đó là dấu hiệu hệ thống VPN đang cấu hình theo kiểu “chạy được là mừng”, chưa được rà soát bài bản. Khi đó, nên kiểm tra lại toàn bộ luồng xác thực để tránh sự cố tái diễn.Bài viết liên quan
/file/media/uploads/article/cover.png)
Hướng dẫn truy cập FortiGate lần đầu (GUI & CLI)
Mục tiêu của bài này là giúp bạn truy cập được FortiGate ngay lần đầu, đổi mật khẩu an toàn, và sẵn sàng cho bước cấu hình Internet ở bài tiếp theo. Bài viết ưu tiên thao tác thực tế, dễ làm, không rối thuật ngữ.
Đọc thêm /file/media/uploads/wan-fortigate.png)
Cấu hình WAN cơ bản trên FortiGate (PPPoE · DHCP · IP tĩnh)
Bài này hướng dẫn cấu hình kết nối Internet cho FortiGate theo 3 trường hợp phổ biến nhất. Làm đúng bài này sẽ giúp bạn đi tiếp mượt sang Bài 4 (LAN & DHCP) và Bài 5 (Policy LAN ra Internet).
Đọc thêm /file/media/uploads/network-interface.jpg)
Cấu hình LAN & DHCP trên FortiGate
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đọc thêm /file/media/uploads/firewall-policy.jpg)
Cấu hình Firewall Policy cho LAN ra Internet trên FortiGate
Đây là bước “mở Internet” cho mạng nội bộ. Dù WAN và LAN đã cấu hình đúng, nếu thiếu Firewall Policy hoặc NAT, máy trong LAN vẫn không thể truy cập Internet. Bài này giúp bạn hiểu rõ và cấu hình đúng ngay lần đầu.
Đọc thêm /file/media/uploads/web-filter.jpg)
Web Filter cơ bản trên FortiGate - Chặn web xấu & quản lý truy cập Internet
Sau khi LAN đã ra Internet (Bài 5), bước tiếp theo là kiểm soát người dùng truy cập web gì. Web Filter giúp chặn website độc hại, nội dung không phù hợp và là tính năng “ăn điểm” nhất khi demo FortiGate cho khách hàng.
Đọc thêm /file/media/uploads/app-control.png)
Application Control cơ bản trên FortiGate - Quản lý Facebook, YouTube, TikTok theo chính sách
Sau khi đã kiểm soát website bằng Web Filter (Bài 6), bước tiếp theo là kiểm soát ứng dụng. Application Control giúp doanh nghiệp quản lý các app “ngốn thời gian” (Social, Streaming) hoặc rủi ro (P2P, Remote tools), mà vẫn giữ trải nghiệm Internet ổn định cho công việc.
Đọc thêm /file/media/uploads/antivirus.jpg)
/file/media/uploads/ssl-inspection.png)
SSL Inspection trên FortiGate - Hiểu đúng trước khi bật
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
Đọc thêm /file/media/uploads/vpn-client-to-site.jpg)
VPN Remote Access trên FortiGate
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm /file/media/uploads/ipsec-vpn.jpg)
VPN Site-to-Site (IPsec) trên FortiGate
VPN Site-to-Site giúp kết nối hai hoặc nhiều mạng LAN ở các địa điểm khác nhau (HQ – Branch – Factory) thành một hệ thống thống nhất qua Internet. Bài này viết theo góc nhìn IT triển khai thực tế: làm đúng ngay từ đầu, dễ mở rộng, dễ troubleshoot.
Đọc thêm /file/media/uploads/ha.jpg)
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm