admin 08/01/2026

VPN Remote Access trên FortiGate

Fortigate NAMHI | Giai đoạn 3 | Bài 10

🧳 VPN Remote Access trên FortiGate – Cho nhân viên làm việc từ xa (đúng chuẩn triển khai thực tế)

VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản → chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.

⏱️ 30–45 phút 🎯 Level: Trung cấp 🧰 Dành cho: IT triển khai / IT quản trị

⬅️ Bài 9: SSL Inspection ➡️ Đi tới Bài 11 (VPN Site-to-Site cho chi nhánh)

🧭 VPN Remote Access là gì? Dùng để làm gì?

VPN Remote Access là mô hình nhân viên ở ngoài (nhà, công tác, 4G) kết nối vào FortiGate để truy cập tài nguyên nội bộ. Điểm quan trọng nhất khi triển khai là: đúng phạm vi truy cập và đúng chính sách bảo mật.

📁 Truy cập file server / NAS / ERP nội bộ
🖥️ RDP/SSH vào máy chủ
🎥 Truy cập camera/NVR (theo nhóm quyền)

⚠️ VPN không nên “mở full LAN cho tất cả user”. Hãy chia nhóm, giới hạn đúng subnet/port cần thiết.

🧩 Chọn SSL-VPN hay IPsec?

✅ SSL-VPN (dễ triển khai, phù hợp user phổ thông)

Dễ dùng, client phổ biến
Phù hợp SMB, remote user ít–vừa
Support dễ, onboarding nhanh

🧱 IPsec Remote Access (ổn định, chuẩn networking)

Tối ưu kết nối, ổn định
Phù hợp môi trường enterprise
Yêu cầu cấu hình routing/DNS chặt hơn

💡 Trong bài 10, NAMHI triển khai theo hướng SSL-VPN vì dễ áp dụng nhất cho đa số doanh nghiệp. Nếu bạn muốn IPsec Remote Access, cấu trúc vẫn tương tự: user/group + policy + route + DNS.

🎯 Thiết kế chuẩn trước khi cấu hình (đỡ lỗi 80%)

✅ 1) VPN IP Pool

Dải IP cấp cho user VPN

Ví dụ: 10.10.10.0/24 (khác subnet LAN, không trùng DHCP).

Nguyên tắc: không trùng subnet nội bộ.

✅ 2) Subnet được phép truy cập

Chỉ mở đúng tài nguyên cần

Ví dụ: chỉ mở 192.168.1.0/24 (server) thay vì all LAN.

Nguyên tắc: least privilege.

✅ 3) Split tunnel

Giữ Internet đi thẳng, chỉ route nội bộ qua VPN

Tăng trải nghiệm, giảm tải FortiGate, dễ vận hành.

Khuyến nghị mặc định cho SMB.

1️⃣ Tạo User/Group cho VPN

Bước 1

Tạo user

Vào User & Authentication → tạo user local (hoặc LDAP/AD nếu doanh nghiệp có).

Bước 2

Tạo group VPN

Tạo group ví dụ VPN-STAFF, đưa user vào group để quản lý theo phòng ban.

💡 Nếu công ty có nhiều phòng ban: tạo nhiều group (VPN-IT, VPN-SALES…) để cấp quyền đúng.

2️⃣ Cấu hình SSL-VPN (cơ bản, chạy ổn)

Bước 1

Chọn interface lắng nghe SSL-VPN

Chọn interface WAN (hoặc interface public) để user ngoài Internet kết nối. Chọn port phù hợp theo chính sách công ty (thường 443/10443…).

Bước 2

Set IP Pool cho client

Thiết lập IP pool (ví dụ 10.10.10.0/24) để cấp cho VPN client.

Bước 3

Split tunnel (khuyến nghị)

Bật split tunnel và khai báo các subnet nội bộ cần đi qua VPN (ví dụ subnet server). Internet của user vẫn đi thẳng ra ISP, không đi qua FortiGate.

⚠️ Nếu bạn bật Full tunnel, toàn bộ Internet user sẽ đi qua FortiGate, dễ gây “nặng” và cần chính sách log/proxy chặt hơn.

3️⃣ Tạo Firewall Policy VPN → LAN (quan trọng nhất)

Bước 1

Policy từ SSL-VPN interface → LAN

Vào Policy & Objects → Firewall Policy tạo policy: Incoming = SSL-VPN interface, Outgoing = LAN.

Bước 2

Giới hạn source theo group

Source user/group: chọn VPN-STAFF (hoặc group tương ứng). Đây là bước giúp bạn “khóa” đúng người dùng được phép đi vào LAN.

Bước 3

Giới hạn dịch vụ và subnet

Destination: chỉ chọn subnet cần truy cập (server/NAS/camera)
Service: chỉ mở đúng port (RDP/SMB/HTTPS…) nếu công ty yêu cầu
Log Allowed Traffic: All Sessions

💡 Đây là nơi “thể hiện trình IT”: hạn chế đúng port/subnet giúp giảm rủi ro rất nhiều.

⚠️ Nếu bạn không tạo policy VPN → LAN, user có thể connect VPN nhưng sẽ không truy cập được tài nguyên nội bộ.

4️⃣ DNS & Route – nguyên nhân phổ biến nhất của lỗi “connect được nhưng không vào được”

🧭 Route/Subnet

Split tunnel: đảm bảo bạn đã khai báo đúng subnet nội bộ
Tránh trùng subnet giữa LAN và VPN pool
Nếu có nhiều VLAN: cần policy đúng VLAN/subnet

🔎 DNS

Nếu truy cập theo tên miền nội bộ: cần DNS nội bộ
Không có DNS đúng: ping IP được nhưng không truy cập được bằng tên

💡 Khi troubleshoot: luôn test theo thứ tự Ping IP → Truy cập service theo IP → Test DNS.

5️⃣ (Khuyến nghị) Bật MFA để tăng bảo mật

VPN là cánh cửa từ Internet vào nội bộ, vì vậy MFA là best practice. Có thể dùng FortiToken (tuỳ license) hoặc giải pháp MFA phù hợp doanh nghiệp.

⚠️ Nếu không có MFA, tối thiểu phải áp chính sách mật khẩu mạnh và giới hạn quyền truy cập theo group/service.

🔍 Test chuẩn triển khai

✅ Test kết nối

VPN connect thành công
Client nhận IP VPN pool
Ping được gateway nội bộ

✅ Test truy cập tài nguyên

RDP/SMB/HTTPS vào server theo policy
Kiểm tra đúng subnet/port được phép
Xem log policy VPN → LAN

💡 Luôn bật log cho policy VPN → LAN để support nhanh: thấy block là biết ngay do policy/service/subnet.

❌ Lỗi thường gặp & cách xử lý nhanh

❌ Connect VPN được nhưng không vào được LAN

Chưa có policy VPN → LAN
Policy có nhưng sai destination/subnet hoặc sai service
Split tunnel chưa khai báo đúng subnet nội bộ

❌ Ping IP được nhưng truy cập theo tên miền không được

DNS client chưa trỏ về DNS nội bộ
Thiếu cấu hình DNS cho VPN user
Test bằng IP trước để phân tách lỗi

❌ User connect không được / bị timeout

Port SSL-VPN bị ISP/Router chặn
NAT/Virtual IP chưa đúng (nếu đứng sau modem)
Chưa mở policy inbound/WAN local-in nếu cần

❌ Bị “trùng subnet” giữa VPN pool và LAN (rất hay gặp)

Nếu VPN pool trùng với LAN/subnet ở nhà user hoặc trùng subnet nội bộ, routing sẽ rối. Fix: đổi VPN pool sang dải khác (ví dụ 10.10.10.0/24) và update split tunnel.

🧩 Kết luận

VPN Remote Access triển khai đúng không chỉ là “connect được”, mà là truy cập đúng tài nguyên, theo đúng group quyền, có log để support và có MFA để bảo mật. Bài tiếp theo sẽ đi vào mô hình chi nhánh: VPN Site-to-Site.

➡️ Bài tiếp theo