VPN องค์กร

FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

จาก: PaiboonTech • 19:34

หลังจาก FortiGate ยกเลิก SSL VPN ใน Firmware 7.4 ขึ้นไป องค์กรจำเป็นต้องเปลี่ยนมาใช้ IPSec VPN แทน บทความนี้สรุปจากคลิป PaiboonTech สอนตั้งค่า IPSec VPN Remote Access ตั้งแต่สร้าง User จนถึงทดสอบ VPN ด้วย FortiClient

1

เตรียมพร้อมก่อนเริ่ม

อุปกรณ์ที่ใช้ในตัวอย่าง:

  • FortiGate 31G
  • Firmware 7.4.9 (เวอร์ชันล่าสุด)
  • SSL VPN ถูกเอาออกแล้ว เหลือแค่ IPSec

ข้อมูลที่ต้องเตรียม:

  1. WAN Interface - ต้องมี Public IP
  2. LAN Network - เช่น 192.168.10.0/24
  3. VPN IP Pool - เช่น 10.255.255.10-20

หมายเหตุ: IPSec VPN ไม่มี License แยก ใช้ได้ตาม Capacity ของรุ่น

2

ขั้นตอนที่ 1: สร้าง User และ Group

สร้าง User:

  1. ไปที่ User & Authentication > User Definition
  2. กด Create New
  3. เลือก Local User (หรือดึงจาก RADIUS/LDAP ก็ได้)
  4. ใส่ Username และ Password (อย่างน้อย 8 ตัวอักษร)
  5. FortiToken: เปิดใช้ 2FA ถ้าต้องการ (มีแถมมา 2 Token)
  6. กด Submit

สร้าง User Group:

  1. ไปที่ User & Authentication > User Groups
  2. กด Create New
  3. ตั้งชื่อ: IPSec-VPN-Group
  4. เพิ่ม User เข้า Group
  5. กด OK

Tips: แยก Group ตามแผนก (IT, Marketing) เพื่อทำ Policy แยกกัน

3

ขั้นตอนที่ 2: สร้าง IPSec Tunnel ด้วย Wizard

ใช้ IPSec Wizard:

  1. ไปที่ VPN > IPSec Wizard
  2. เลือก Remote Access
  3. เลือก Client Based > FortiClient
  4. ตั้งชื่อ: IPSec-VPN-Remote
  5. กด Next

ตั้งค่า Incoming:

  1. Incoming Interface: เลือก WAN Port
  2. Authentication: Pre-shared Key
  3. Pre-shared Key: ตั้งรหัสยากๆ (สำคัญมาก!)
  4. User Group: เลือก IPSec-VPN-Group
  5. กด Next

ตั้งค่า Network:

  1. Local Interface: เลือก LAN
  2. Local Address: 192.168.10.0/24
  3. Client Address Range: 10.255.255.10-20
  4. DNS Server: Use System DNS
  5. ติ๊ก Enable IPv4 Split Tunnel
  6. กด Create
4

ขั้นตอนที่ 3: ปรับ Phase 1 และ Phase 2

เปิด Advanced Settings:

  1. ไปที่ VPN > IPSec Tunnels
  2. คลิก Tunnel ที่สร้างไว้ > Edit
  3. คลิก Convert to Custom Tunnel

Phase 1 (IKE):

  • Encryption: AES128, AES256
  • Authentication: SHA256 (ลบ SHA1 ทิ้ง - ไม่ปลอดภัย)
  • DH Group: 14, 5
  • Key Lifetime: 86400 seconds

Phase 2 (IPSec):

  • Encryption: AES128, AES256
  • Authentication: SHA256
  • DH Group: 14, 5 (ให้ตรงกับ Phase 1)

สำคัญ: User Group เปลี่ยนเป็น Inherit Policy เพื่อกำหนดใน Firewall Policy แทน

5

ขั้นตอนที่ 4: ตั้งค่า Firewall Policy

แก้ไข Policy ที่ Wizard สร้าง:

  1. ไปที่ Policy & Objects > Firewall Policy
  2. หา Policy ชื่อ IPSec-VPN แล้ว Edit

ตั้งค่า Source:

  • Source User: เลือก IPSec-VPN-Group
  • นี่คือการผูก User Group กับ Policy

เปิด Security:

  • ติ๊ก IPS - ป้องกันการโจมตีผ่าน VPN
  • Log: All Sessions

กรณีมีหลาย Group:

  • สร้าง Policy แยกสำหรับแต่ละ Group
  • กำหนด Destination Network ต่างกัน
  • IT เข้าได้ทุก Server, Marketing เข้าได้แค่บางส่วน
6

IKE Version 1 vs Version 2

IKE Version 1:

  • ใช้ XAuth สำหรับ Authentication
  • รองรับ Local User และ LDAP Server
  • มีช่องโหว่ค่อนข้างเยอะ
  • ไม่แนะนำ ใน Firmware ใหม่

IKE Version 2 (แนะนำ):

  • ใช้ EAP สำหรับ Authentication
  • รองรับ Local User และ RADIUS Server
  • ไม่รองรับ LDAP โดยตรง
  • ปลอดภัยกว่า IKEv1 มาก

การเปลี่ยนเป็น IKEv2:

  1. Edit Tunnel > Authentication
  2. เปลี่ยน IKE Version เป็น 2
  3. ต้อง Enable EAP ผ่าน CLI
7

เปิด EAP สำหรับ IKEv2 (CLI)

คำสั่ง CLI:

`

config vpn ipsec phase1-interface

edit "IPSec-VPN-Remote"

set eap enable

set eap-identity send-request

next

end

`

ความหมาย:

  • set eap enable - เปิดใช้ EAP Authentication
  • set eap-identity send-request - ให้ Client ส่ง Identity มา

หมายเหตุ:

  • IKEv2 จำเป็นต้องใช้ EAP
  • ถ้าไม่เปิด EAP จะ Authenticate ไม่ผ่าน
8

ตั้งค่า FortiClient (ฝั่ง User)

สร้าง VPN Connection:

  1. เปิด FortiClient > Remote Access
  2. กด Configure VPN
  3. เลือก IPSec VPN
  4. ใส่ข้อมูล:
  • Connection Name: Office-VPN
  • Remote Gateway: Public IP ของ FortiGate
  • Authentication: Pre-shared Key
  • Pre-shared Key: ตรงกับ FortiGate

สำหรับ IKEv1:

  • IKE Version: 1
  • Phase 1/2: ตรงกับ FortiGate

สำหรับ IKEv2:

  • IKE Version: 2
  • Phase 1/2: ตรงกับ FortiGate

ทดสอบ:

  1. ใส่ Username/Password
  2. กด Connect
  3. สถานะต้องขึ้น Connected
9

ตรวจสอบการเชื่อมต่อ

ที่ FortiGate:

  1. VPN > IPSec Tunnels - ดู Status ว่า Up
  2. Dashboard > FortiView > VPN - ดู User ที่ Connect
  3. Monitor > Firewall User Monitor - ดู User และ IP ที่ได้รับ

ตรวจสอบ Traffic:

  1. ไปที่ Policy & Objects > Firewall Policy
  2. คลิกขวาที่ Policy VPN
  3. เลือก Show Matching Logs
  4. ดูว่ามี Traffic วิ่งผ่าน Policy

Log จะแสดง:

  • Source IP (VPN IP ที่ได้รับ)
  • Username ที่ VPN เข้ามา
  • Destination ที่เข้าถึง

สรุป

IPSec VPN Remote Access เป็นทางเลือกหลักแทน SSL VPN ที่ถูกยกเลิกใน FortiOS 7.4 ขึ้นไป แนะนำใช้ IKEv2 + EAP เพราะปลอดภัยกว่า IKEv1 สิ่งสำคัญคือตั้ง Pre-shared Key ให้ยาก และกำหนด Phase 1/2 ให้ตรงกันทั้งสองฝั่ง

คำถามที่พบบ่อย

Q ต้องซื้อ License IPSec VPN เพิ่มไหม?

ไม่ต้อง FortiGate ไม่มี License แยกสำหรับ IPSec VPN สามารถใช้ได้ตาม Capacity ของรุ่นเลย

Q IKEv1 กับ IKEv2 ต่างกันยังไง?

IKEv1 ใช้ XAuth รองรับ LDAP แต่มีช่องโหว่มาก ส่วน IKEv2 ใช้ EAP รองรับ RADIUS ปลอดภัยกว่า แนะนำใช้ IKEv2

Q ทำไมต้องใช้ Inherit Policy?

เพื่อให้กำหนด User Group ใน Firewall Policy แทน ทำให้แยก Policy ตาม Group ได้ง่าย เช่น IT เข้าได้ทุก Server แต่ Marketing เข้าได้แค่บางส่วน

Q Split Tunnel คืออะไร?

คือการส่งเฉพาะ Traffic ที่ไปหา Network ภายในผ่าน VPN ส่วน Internet ปกติวิ่งออกที่ User โดยตรง ช่วยลดโหลดที่ VPN Server

FortiGate IPSec VPN Remote Access IKEv2 FortiClient EAP Phase 1 Phase 2

บทความที่เกี่ยวข้อง

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

VPN องค์กร
FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

VPN องค์กร
Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

VPN องค์กร
MikroTik VPN Site-to-Site ด้วย L2TP/IPSec เชื่อมสำนักงาน HQ กับสาขา

MikroTik VPN Site-to-Site ด้วย L2TP/IPSec เชื่อมสำนักงาน HQ กับสาขา

VPN องค์กร