VPN องค์กร

วิธีตั้งค่า SSL VPN Remote Access บน FortiGate พร้อมเปรียบเทียบ Split vs Full Tunneling

จาก: beFirstNetwork • 38:36

SSL VPN Remote Access คือฟีเจอร์สำคัญบน FortiGate ที่ช่วยให้พนักงานสามารถเข้าถึง Server ภายในองค์กรได้จากที่ไหนก็ได้ บทความนี้จะสอนวิธีตั้งค่าแบบ Step-by-step พร้อมอธิบายความแตกต่างระหว่าง Split Tunneling กับ Full Tunneling

1

ความแตกต่างระหว่าง Tunnel Access กับ Web Access

SSL VPN บน FortiGate มี 2 แบบ:

Web Access:

  • เข้าถึงได้ผ่าน Web Browser เท่านั้น
  • เหมาะกับ Web Server ภายใน
  • ไม่ต้องติดตั้ง Client

Tunnel Access:

  • เข้าถึงได้ทุก Service (File Share, RDP, SSH)
  • ต้องติดตั้ง FortiClient
  • เหมาะกับการทำงานจากที่บ้าน
2

Split Tunneling vs Full Tunneling

Split Tunneling:

  • เฉพาะ Traffic ที่ไปหา Server ภายในเท่านั้นที่วิ่งผ่าน VPN
  • Traffic อื่น (เข้าเว็บทั่วไป) วิ่งออก Internet ตรงๆ
  • ข้อดี: เร็วกว่า ไม่ต้องผ่าน FortiGate
  • ข้อเสีย: ควบคุม Traffic ได้น้อยกว่า

Full Tunneling:

  • Traffic ทุกอย่างวิ่งผ่าน FortiGate หมด
  • จะออก Internet ต้องผ่าน FortiGate ก่อน
  • ข้อดี: ควบคุมและ Monitor Traffic ได้ทั้งหมด
  • ข้อเสีย: อาจช้าลงเพราะ Traffic ต้องวิ่งอ้อม
3

ขั้นตอนการเตรียมตัว

1. ตรวจสอบ Internet:

  • ตรวจสอบว่า WAN Interface มี Public IP
  • ถ้าไม่มี Fix IP ต้องทำ Dynamic DNS
  • ทดสอบว่า Access จากภายนอกได้

2. สร้าง Address Object:

  • สร้าง Address สำหรับ LAN ภายใน (เช่น 172.23.0.0/16)
  • SSL VPN Range Address จะมี Default ให้ (10.212.134.200-210)

3. สร้าง User และ Group:

  • สร้าง User หรือดึงจาก AD
  • สร้าง Group สำหรับ SSL VPN
4

ขั้นตอนที่ 1: ตั้งค่า SSL VPN Portal

  1. ไปที่ VPN > SSL-VPN Portals
  2. เลือก tunnel-access (หรือ full-access)
  3. ตั้งค่า Tunnel Mode:
  • Enable Split Tunneling: ติ๊กถ้าต้องการ Split
  • ไม่ติ๊ก = Full Tunneling
  1. ตั้งค่า Routing Address (เช่น LAN ภายใน)
  2. ตั้งค่า Source IP Pools (IP ที่ Client จะได้รับ)
  3. Options อื่นๆ:
  • Allow Save Password
  • Auto Connect
  • Keep Alive
5

ขั้นตอนที่ 2: ตั้งค่า SSL VPN Settings

  1. ไปที่ VPN > SSL-VPN Settings
  2. Listen on Interface: เลือก WAN
  3. Listen Port: ใส่ Port (เช่น 8443 ถ้า 443 ถูกใช้แล้ว)
  4. Server Certificate: เลือก Certificate
  5. Idle Timeout: 300 seconds (5 นาที)
  6. Authentication/Portal Mapping:
  • เลือก User Group
  • เลือก Portal ที่จะใช้ (tunnel-access)
6

ขั้นตอนที่ 3: สร้าง Firewall Policy

Policy สำหรับเข้า LAN:

  • Incoming: SSL-VPN tunnel interface
  • Outgoing: LAN interface
  • Source: SSL VPN Range + User Group
  • Destination: LAN Network
  • Service: ALL (หรือกำหนดตาม Security)

Policy สำหรับออก Internet (Full Tunnel):

  • Incoming: SSL-VPN tunnel interface
  • Outgoing: WAN interface
  • Source: SSL VPN Range + User Group
  • Destination: ALL
  • Service: ALL
  • เปิด NAT
7

ขั้นตอนที่ 4: ติดตั้ง FortiClient

วิธีดาวน์โหลด:

  1. เข้า Web Portal: https://vpn.domain.com:8443
  2. Login ด้วย User/Password
  3. กดลิงก์ดาวน์โหลด FortiClient
  4. หรือดาวน์โหลดจาก forticlient.com โดยตรง

วิธีติดตั้ง:

  1. Run Installer
  2. รอดาวน์โหลด Components
  3. ติดตั้งแบบ Default
  4. เปิด FortiClient แล้ว Config VPN
8

ขั้นตอนที่ 5: Connect VPN จาก FortiClient

วิธี Config VPN:

  1. เปิด FortiClient > Remote Access
  2. เลือก SSL-VPN
  3. ตั้งค่า:
  • Connection Name: ชื่ออะไรก็ได้
  • Remote Gateway: vpn.domain.com
  • Port: 8443
  • ไม่ต้องใส่ Client Certificate
  1. Save แล้วกด Connect
  2. ใส่ Username/Password
  3. รอจนเชื่อมต่อสำเร็จ
9

ทดสอบความแตกต่าง Split vs Full

ทดสอบ Split Tunneling:

  1. Connect VPN
  2. Ping Server ภายใน = ได้
  3. เข้า speedtest.net = เห็น ISP ของตัวเอง (เช่น True)
  4. Traffic ออกเน็ตไม่ผ่าน FortiGate

ทดสอบ Full Tunneling:

  1. Connect VPN
  2. Ping Server ภายใน = ได้
  3. เข้า speedtest.net = เห็น ISP ของ Office (เช่น 3BB)
  4. Traffic ทุกอย่างผ่าน FortiGate
  5. ถ้าไม่มี Policy ออก Internet จะออกเน็ตไม่ได้

สรุป

SSL VPN Remote Access บน FortiGate ช่วยให้พนักงานเข้าถึง Server ภายในได้จากที่ไหนก็ได้ การเลือกระหว่าง Split หรือ Full Tunneling ขึ้นอยู่กับ Policy ขององค์กร ถ้าต้องการควบคุม Traffic ทั้งหมดใช้ Full Tunnel ถ้าต้องการความเร็วและไม่ต้อง Monitor ใช้ Split Tunnel

คำถามที่พบบ่อย

Q Split Tunneling กับ Full Tunneling ต่างกันอย่างไร?

Split Tunneling วิ่งเฉพาะ Traffic ไป Server ภายในผ่าน VPN ส่วน Full Tunneling วิ่งทุก Traffic ผ่าน VPN หมด รวมถึงการออก Internet

Q ทำไม SSL VPN ใช้ Port 443 ไม่ได้?

ถ้า Port 443 ถูกใช้สำหรับ Web Management ของ FortiGate แล้ว ต้องใช้ Port อื่น เช่น 8443 หรือ 10443

Q Full Tunneling ทำแล้วออก Internet ไม่ได้?

ต้องสร้าง Firewall Policy เพิ่ม ให้ SSL VPN วิ่งออก WAN ได้ พร้อมเปิด NAT ไม่งั้น Traffic จะไม่มีทางออก

Q SSL VPN กับ IPSec VPN ควรเลือกใช้อันไหน?

SSL VPN เหมาะกับ Remote User ทำงานจากบ้าน เพราะใช้งานง่าย ส่วน IPSec เหมาะกับ Site-to-Site เชื่อมต่อระหว่างสาขา

Q FortiClient ดาวน์โหลดได้จากไหน?

ดาวน์โหลดได้จาก Web Portal ของ SSL VPN หลังจาก Login หรือดาวน์โหลดจาก forticlient.com โดยตรง เลือกเวอร์ชัน VPN Only

FortiGate SSL VPN Remote Access Split Tunneling Full Tunneling FortiClient VPN

บทความที่เกี่ยวข้อง

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

Synology NAS เป็น VPN Server: ตั้งค่า OpenVPN ฟรี

VPN องค์กร
FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

FortiGate IPSec VPN Remote Access: คู่มือตั้งค่าฉบับสมบูรณ์

VPN องค์กร
FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

FortiGate SSL VPN: Training เบื้องต้นสำหรับผู้ดูแลระบบ

VPN องค์กร
Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

VPN องค์กร