Lịch sử tìm kiếm
  1. Trang chủ
  2. Hướng dẫn
  3. Hướng dẫn Fortinet
  4. VPN Site-to-Site (IPsec) trên FortiGate
admin 08/01/2026

VPN Site-to-Site (IPsec) trên FortiGate

Fortigate NAMHI | Giai đoạn 3 | Bài 11

🏢 VPN Site-to-Site (IPsec) trên FortiGate – Kết nối Trụ sở ↔ Chi nhánh đúng chuẩn triển khai

Nếu Bài 10 là VPN cho user làm việc từ xa, thì Site-to-Site là VPN cho mạng ↔ mạng. Mục tiêu là để HQ và Branch “nhìn thấy nhau” ổn định, chạy ERP, file server, camera, VoIP… như cùng một hệ thống. Bài này đi theo lộ trình NAMHI: thiết kế đúng → cấu hình đúng → test đúng → troubleshoot nhanh.

⏱️ 35–55 phút 🎯 Level: Trung cấp 🧰 Dành cho: IT triển khai / IT hệ thống
⬅️ Bài 10: VPN Remote Access ➡️ Đi tới Bài 12 (High Availability - HA)

🧭 Site-to-Site là gì? Khác Remote Access chỗ nào?

👤 Remote Access (Bài 10)

  • User cá nhân (laptop/PC) kết nối vào FortiGate
  • Truy cập tài nguyên nội bộ theo group
  • Thường dùng SSL-VPN/IPsec RA

🏢 Site-to-Site (Bài 11)

  • Kết nối 2 mạng LAN (HQ ↔ Branch)
  • Thiết bị ↔ thiết bị (FortiGate ↔ FortiGate)
  • Thường dùng IPsec Tunnel
⚠️ 3 lỗi “chết người” của Site-to-Site: trùng subnet, NAT nhầm, thiếu policy/routing 1 chiều.

📋 Checklist trước khi cấu hình (điền đủ là làm rất nhanh)

✅ WAN 2 đầu

Public IP / DDNS

HQ-WAN, Branch-WAN. Nếu dynamic IP thì chuẩn bị DDNS.

Khuyến nghị: ưu tiên IP tĩnh nếu có.
✅ LAN Subnet

Không trùng nhau

Ví dụ HQ: 192.168.10.0/24, Branch: 192.168.20.0/24.

Trùng subnet: tunnel có thể up nhưng data không chạy.
✅ PSK + Proposal

Thông số Phase1/2

Pre-shared key, encryption/hash, DH group, lifetime.

2 đầu phải khớp, lệch 1 mục là không lên.

🎯 Thiết kế “đúng chuẩn vận hành” (NAMHI khuyến nghị)

Nguyên tắc 1

Chỉ route đúng subnet cần đi qua tunnel

Không kéo cả Internet hoặc subnet không liên quan qua VPN. Dễ rối routing và khó debug.

Nguyên tắc 2

Policy 2 chiều + NAT = Disable

Site-to-Site “không NAT”. NAT nhầm là lỗi phổ biến nhất khiến app chết dù tunnel up.

Nguyên tắc 3

Bật log để support nhanh

Policy VPN↔LAN bật Log Allowed Traffic: All Sessions để nhìn thấy flow ngay lập tức.

1️⃣ Tạo IPsec Tunnel bằng Wizard (nhanh, ít sai)

Bước 1

VPN → IPsec Wizard → Site to Site

Chọn kiểu Site-to-Site (FortiGate) để wizard dựng đúng skeleton Phase1/Phase2.

Bước 2

Remote Gateway (WAN bên kia)

Nhập public IP/DDNS của site đối tác. Kiểm tra chắc chắn WAN reachable.

Bước 3

Local Subnet / Remote Subnet

  • Local: subnet LAN tại site đang cấu hình
  • Remote: subnet LAN của site bên kia
⚠️ Khai báo sai subnet là nguyên nhân số 1 của lỗi “tunnel up nhưng không ping/app không chạy”.

2️⃣ Routing: Static route (hoặc policy route) cho đúng đường

Sau khi có tunnel interface, bạn cần đảm bảo traffic từ LAN đi tới remote subnet sẽ được route qua tunnel. Với đa số case SMB, Static route là đủ, dễ quản trị.

💡 Checklist nhanh: “HQ muốn tới 192.168.20.0/24 thì next-hop là tunnel HQ↔Branch” và ngược lại ở Branch.

3️⃣ Firewall Policy 2 chiều (điểm hay bị quên)

➡️ HQ → Branch

  • Incoming: LAN-HQ
  • Outgoing: IPsec-HQ-Branch
  • Destination: LAN-Branch
  • NAT: Disable

⬅️ Branch → HQ

  • Incoming: IPsec-HQ-Branch
  • Outgoing: LAN-Branch
  • Destination: LAN-HQ
  • NAT: Disable
⚠️ Thiếu 1 chiều policy = traffic đi 1 hướng được, hướng còn lại “mất tích”.
💡 NAMHI khuyến nghị: service chỉ mở theo nhu cầu (SMB/RDP/HTTPS…) thay vì ALL, đặc biệt khi chạy ERP/VoIP.

🔍 Test chuẩn triển khai (đúng thứ tự là ra bệnh ngay)

✅ Test L3

  • Ping từ HQ tới 1 IP ở Branch
  • Ping từ Branch tới 1 IP ở HQ
  • Xem VPN monitor: Phase1/Phase2 có traffic

✅ Test dịch vụ

  • RDP/SMB/ERP theo đúng policy
  • Kiểm tra DNS nội bộ nếu truy cập bằng tên
  • Kiểm tra firewall trên server nếu chỉ ping được
💡 Khi debug: nhìn Policy hit counterForward traffic log là biết bị chặn ở đâu ngay.

❌ Lỗi thường gặp & cách xử lý nhanh (accordion)

❌ Phase1 không lên (tunnel không establish)
  • Sai Pre-shared Key
  • Sai proposal (encryption/hash), DH group
  • WAN/ISP chặn, NAT-T không đúng, gateway không reachable
❌ Phase2 lên nhưng không ping/app không chạy
  • Sai Local/Remote subnet (selectors)
  • Thiếu policy 2 chiều hoặc policy sai interface
  • NAT bị bật nhầm trên policy VPN
  • Routing bất đối xứng (asymmetric routing)
💡 80% trường hợp “tunnel up nhưng không chạy” là subnet selector hoặc NAT.
❌ Ping được nhưng truy cập theo tên không được
  • Thiếu DNS nội bộ / split DNS
  • Client không dùng đúng DNS server
  • Test bằng IP trước để tách lỗi DNS
❌ Trùng subnet giữa 2 site

Đây là lỗi “không cứu được bằng policy”. Cách đúng là đổi subnet 1 đầu (hoặc dùng NAT over VPN nhưng sẽ phức tạp hơn).

🧩 Kết luận

Site-to-Site thành công không chỉ là “tunnel lên”, mà là routing đúng, policy đủ 2 chiều, không NAT và có log để support. Bài tiếp theo (Bài 12) sẽ nâng level vận hành doanh nghiệp: High Availability (HA) để tránh downtime.

➡️ Bài tiếp theo

🔁 Fortigate NAMHI – Bài 12: High Availability (HA) Active-Passive

Dựng cặp FortiGate HA để tự động failover khi sự cố, giảm downtime, nâng độ tin cậy cho khách doanh nghiệp.

Chưa đọc Bài 10? Xem lại: VPN Remote Access
Xem Bài 12
 

Bài viết liên quan

Cấu hình LAN & DHCP trên FortiGate

Cấu hình LAN & DHCP trên FortiGate

08/01/2026 admin
Sau khi WAN đã ra Internet (Bài 3), bước tiếp theo là thiết lập mạng nội bộ (LAN) và bật DHCP để PC/WiFi nhận IP tự động. Bài này giúp bạn cấu hình LAN “đọc là làm được”, tránh lỗi phổ biến: máy nhận IP sai lớp, trùng IP, hoặc không nhận được IP.
Đọc thêm
SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

SSL Inspection trên FortiGate - Hiểu đúng trước khi bật

08/01/2026 admin
90% traffic Internet hiện nay là HTTPS. Nếu chỉ bật Web Filter / App Control / AV / IPS mà không hiểu SSL Inspection, FortiGate sẽ khó “nhìn sâu” được nội dung. Nhưng bật sai SSL Inspection lại rất dễ gây lỗi: trình duyệt báo “Not secure”, ứng dụng Teams/Outlook/ERP lỗi, user kêu ngay. Bài này hướng dẫn theo kiểu NAMHI: cơ bản → nâng cao, làm đúng ngay lần đầu.
Đọc thêm
VPN Remote Access trên FortiGate

VPN Remote Access trên FortiGate

08/01/2026 admin
VPN Remote Access giúp nhân viên truy cập hệ thống nội bộ (file server, ERP, camera, RDP…) từ bên ngoài một cách an toàn. Bài này hướng dẫn theo lộ trình NAMHI: cơ bản - chuẩn vận hành, tập trung “làm xong là chạy”, ít lỗi, dễ support.
Đọc thêm
High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

High Availability (HA) trên FortiGate - Active-Passive để tránh downtime cho doanh nghiệp

08/01/2026 admin
Nếu VPN (Bài 10–11) là để “kết nối”, thì HA là để “không bị ngắt”. HA Active-Passive giúp bạn dựng 2 FortiGate chạy theo cặp: 1 con Active xử lý traffic, 1 con Standby đồng bộ cấu hình và sẵn sàng tự động takeover khi thiết bị/đường truyền/port gặp sự cố. Bài này hướng dẫn theo góc nhìn triển khai thực tế: làm đúng – test rõ – vận hành ổn.
Đọc thêm
Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

Dual-WAN Failover trên FortiGate - 2 đường Internet dự phòng

08/01/2026 admin
Sau HA (Bài 12) để tránh “hỏng thiết bị”, bước kế tiếp để tránh “đứt Internet” là Dual-WAN Failover. Mục tiêu triển khai thực tế: WAN1 (chính) chạy bình thường, WAN2 (dự phòng) chỉ takeover khi WAN1 lỗi, và tự động chuyển lại khi WAN1 ổn định. Bài này hướng dẫn này sẽ giúp: làm đúng từ thiết kế, monitor đúng kiểu, test failover rõ ràng.
Đọc thêm
1