VPN องค์กร

FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

จาก: NetworkDNA Learning Center • 51:18

SSL VPN เป็นวิธีที่ปลอดภัยในการให้พนักงานเข้าถึง Server ขององค์กรจากภายนอก โดยไม่ต้องเปิด Port Remote Desktop ตรงๆ บทความนี้สรุปจาก Training ของ NetworkDNA สอนตั้งค่า FortiGate SSL VPN แบบ Web Mode

1

ทำไมต้องใช้ SSL VPN?

ปัญหาของการเปิด Remote Desktop ตรงๆ:

  • Hacker สามารถ Brute Force รหัสผ่านได้
  • Port 3389 เป็นเป้าหมายของการโจมตี
  • ไม่มี Multi-Factor Authentication

ข้อดีของ SSL VPN:

  1. ผู้ใช้ต้อง Login ก่อน - ไม่ใช่ใครก็เข้าได้
  2. เข้ารหัส HTTPS - ปลอดภัยกว่า
  3. ควบคุมได้ - กำหนดว่าใครเข้า Server ไหนได้
  4. ไม่ต้องติดตั้ง Client - ใช้ผ่าน Web Browser
2

Web Mode vs Tunnel Mode

Web Mode (Clientless):

  • ไม่ต้องติดตั้งโปรแกรมในเครื่อง
  • เข้าผ่าน Web Browser ได้เลย
  • เหมาะกับ: เปิดเว็บ, Remote Desktop
  • ข้อจำกัด: ไม่รองรับทุก Application

Tunnel Mode (FortiClient):

  • ต้องติดตั้ง FortiClient
  • ได้ IP จาก VPN Pool
  • รองรับทุก Application
  • เหมาะกับ: ใช้งานเหมือนอยู่ในออฟฟิศ

หมายเหตุ: Training นี้เน้น Web Mode

3

ขั้นตอนที่ 1: สร้าง User/Group

สร้าง User:

  1. ไปที่ User & Authentication > User Definition
  2. กด Create New
  3. เลือก Local User
  4. ใส่ Username และ Password
  5. กด OK

สร้าง Group:

  1. ไปที่ User & Authentication > User Groups
  2. กด Create New
  3. ตั้งชื่อ Group (เช่น Internet-Users)
  4. เพิ่ม User เข้า Group
  5. กด OK

Tips: ใช้ User/Group ที่มีอยู่แล้วก็ได้

4

ขั้นตอนที่ 2: ตั้งค่า SSL VPN Settings

ไปที่ VPN > SSL-VPN Settings:

  1. Listen on Interface: เลือก WAN Port (Port 1)
  2. Listen on Port: เปลี่ยนจาก 443 เป็น 10443
  • ป้องกัน Conflict กับ Admin Port
  • ยากต่อการเดา
  1. Authentication/Portal Mapping:
  • กด Create New
  • เลือก User Group: Internet-Users
  • เลือก Portal: full-access
  • กด OK
  1. All Other Users/Groups: ปล่อยว่าง
  2. กด Apply

URL สำหรับ Login:

`

https://[WAN-IP]:10443

`

5

ขั้นตอนที่ 3: ตั้งค่า Portal

ไปที่ VPN > SSL-VPN Portals:

  1. เลือก full-access
  2. กด Edit

สำหรับ Web Mode:

  • ปิด Tunnel Mode
  • เปิด Enable Web Mode

สร้าง Bookmark:

  1. กด Create New
  2. ใส่ข้อมูล:
  • Name: Web Server
  • Type: HTTP/HTTPS
  • URL: http://192.168.1.10
  1. กด OK

Tips: สร้าง Bookmark สำหรับ RDP ได้ด้วย

6

ขั้นตอนที่ 4: สร้าง Firewall Policy

ไปที่ Policy & Objects > Firewall Policy:

  1. กด Create New
  2. ตั้งค่า:
  • Name: SSL-VPN-to-Server
  • Incoming Interface: SSL-VPN tunnel interface (ssl.root)
  • Outgoing Interface: LAN Port ที่ Server อยู่
  • Source: User Group (Internet-Users)
  • Destination: Server IP (เช่น 192.168.1.10)
  • Service: HTTP, HTTPS, RDP
  • Action: ACCEPT
  1. กด OK

หมายเหตุ:

  • กำหนด Destination เฉพาะ Server ที่ต้องการ
  • อย่าใช้ All เพราะจะเข้าได้ทุกเครื่อง
7

ทดสอบการเชื่อมต่อ

ขั้นตอนทดสอบ:

  1. เปิด Web Browser (แนะนำ Firefox หรือ IE)
  2. ไปที่ https://[WAN-IP]:10443
  3. กด Accept ถ้าเจอ Certificate Warning
  4. Login ด้วย User ที่สร้างไว้
  5. เห็นหน้า Portal
  6. คลิก Bookmark ที่สร้างไว้

ปัญหาที่อาจเจอ:

  • Chrome บางเวอร์ชันใช้ไม่ได้
  • ให้ลอง Firefox หรือ Edge
  • เกี่ยวกับ TLS Version ใน Browser
8

Troubleshooting Browser

ปัญหา: Browser ใหม่ใช้ไม่ได้

  • Browser ใหม่ปิด TLS 1.0/1.1
  • FortiGate เก่าอาจใช้ TLS 1.0

วิธีแก้ที่ FortiGate:

`

config vpn ssl settings

set ssl-min-proto-ver tls1-2

end

`

วิธีแก้ที่ Browser:

  • ลอง Firefox (ปรับได้ง่าย)
  • IE11 บางครั้งใช้ได้
  • หลีกเลี่ยง Chrome เวอร์ชันใหม่

Tips: อัพเกรด FortiGate Firmware เป็นทางแก้ที่ดีที่สุด

สรุป

FortiGate SSL VPN แบบ Web Mode เหมาะสำหรับองค์กรที่ต้องการให้พนักงานเข้าถึง Server จากภายนอก โดยไม่ต้องติดตั้ง Client สิ่งสำคัญคือตั้ง Port ที่ไม่ซ้ำกับ Admin และกำหนด Firewall Policy ให้ถูกต้อง

คำถามที่พบบ่อย

Q ใช้ Port 443 ได้ไหม?

ได้ แต่จะ Conflict กับ Admin GUI ต้องย้าย Admin Port ไปใช้ Port อื่น (เช่น 8443) ก่อน

Q ทำไม Chrome ใช้ไม่ได้?

Chrome เวอร์ชันใหม่ปิด TLS 1.0/1.1 ถ้า FortiGate ใช้ TLS เก่าจะ Connect ไม่ได้ ต้องอัพเกรด Firmware หรือใช้ Firefox แทน

Q Web Mode กับ Tunnel Mode ต่างกันยังไง?

Web Mode เข้าผ่าน Browser ไม่ต้องลง Client แต่ใช้ได้แค่บาง Application ส่วน Tunnel Mode ต้องลง FortiClient แต่ใช้ได้ทุก Application

Q ลูกค้าห้ามลง Software ทำยังไง?

ใช้ Web Mode ได้เลย ไม่ต้องติดตั้งอะไรในเครื่อง User แค่เปิด Browser แล้ว Login

FortiGate SSL VPN Web Mode Remote Access Firewall Policy VPN Training

บทความที่เกี่ยวข้อง

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

VPN องค์กร
FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

VPN องค์กร
Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

VPN องค์กร
MikroTik VPN Site-to-Site ด้วย L2TP/IPSec เชื่อมสำนักงาน HQ กับสาขา

MikroTik VPN Site-to-Site ด้วย L2TP/IPSec เชื่อมสำนักงาน HQ กับสาขา

VPN องค์กร