Fortinet: ย้ายจาก SSL VPN ไปใช้ IPSec VPN (FortiOS 7.6)

ปัญหาของ SSL VPN:

• ช่องโหว่ OpenSSL ออกมาถี่
• ต้อง Upgrade Firmware บ่อย
• Attack Surface มาก

ข้อดีของ IPSec VPN:

1. ช่องโหว่น้อยกว่า - ไม่พึ่ง OpenSSL Library
2. Performance ดีกว่า - ใช้ Hardware Chip ประมวลผล
3. อัพเกรดน้อยลง - ปีละ 4 ครั้งก็พอ
4. รองรับ SAML/MFA - Azure AD, Duo, Okta

หมายเหตุ: Web Mode ยังใช้ได้ ไม่ถูกยกเลิก

คำแนะนำ:

• ถ้าใช้ 7.2 อยู่ ควรวางแผนตั้งแต่ตอนนี้
• ถ้าใช้ 7.4 มีเวลาเตรียมการ 2 ปี
• ทยอย Migrate ทีละแผนก ไม่ต้องทำทั้งบริษัทพร้อมกัน

รุ่นที่ไม่มี SSL VPN Menu ใน 7.6.3:

• FortiGate 30G
• FortiGate 50G
• FortiGate 70G
• FortiGate 90G

รุ่นที่ยังมี Menu แต่ถูกยกเลิก Tunnel Mode:

• FortiGate 120G ขึ้นไป
• ทุกรุ่นที่อัพเป็น FortiOS 7.6.3

สรุป:

• รุ่นหลัก 10 (30G-90G) = ไม่มี SSL VPN เลย
• รุ่นหลัก 100 ขึ้นไป = มีเฉพาะ Web Mode

Best Practice: เริ่มจาก Local User ก่อน

1. สร้าง Local User/Group บน FortiGate
2. ทดสอบ IPSec VPN ผ่าน Local User
3. ถ้า Connect ได้ ค่อยไปตั้ง SAML

สร้าง IPSec Tunnel:

1. ไปที่ VPN > IPSec Wizard
2. เลือก Template: Remote Access
3. เลือก Device Type: FortiClient
4. ตั้งชื่อ: Remote-VPN
5. เลือก Interface: WAN Port
6. ใส่ Pre-shared Key
7. เลือก User Group: Local-VPN-Group
8. กด Next

Phase 1 (IKE):

• IKE Version: 2 (จำเป็นสำหรับ SAML)
• Mode: Dial-up User
• Proposal: AES128-SHA256, AES256-SHA256
• DH Group: 20
• Key Lifetime: 86,400 seconds
• NAT Traversal: Enable

Phase 2 (IPSec):

• Proposal: AES128, AES256
• DH Group: 20
• Key Lifetime: 43,200 seconds

Enable EAP:

`

config vpn ipsec phase1-interface

edit "Remote-VPN"

set eap enable

set eap-identity send-request

next

end

`

IP Pool สำหรับ VPN Client:

• ตัวอย่าง: 172.16.100.200-172.16.100.210
• Mode: Config (จ่าย IP อัตโนมัติ)

Firewall Policy:

1. Policy 1: VPN to LAN

• Incoming: IPSec Tunnel
• Outgoing: LAN Port
• Action: Accept

1. Policy 2: VPN to Internet (Full Tunnel)

• Incoming: IPSec Tunnel
• Outgoing: WAN Port
• NAT: Enable
• Action: Accept

หมายเหตุ:

• Full Tunnel = ทุกอย่างวิ่งผ่าน HQ
• Split Tunnel = เฉพาะ Traffic ไป HQ

ติดตั้ง FortiClient:

1. ดาวน์โหลดจาก forticlient.com
2. ติดตั้งบน Windows/Mac/iOS/Android

สร้าง VPN Connection:

1. เปิด FortiClient
2. ไปที่ Remote Access
3. กด Configure VPN
4. เลือก IPSec VPN
5. ใส่ข้อมูล:

• Remote Gateway: Public IP ของ FortiGate
• Authentication: Pre-shared Key
• Pre-shared Key: ตรงกับ FortiGate
• IKE Version: 2
• Mode: Aggressive หรือ Main

1. กด Save แล้ว Connect

ขั้นตอนย่อ:

1. สร้าง Enterprise App บน Azure AD
2. ตั้งค่า SAML SSO
3. ดาวน์โหลด Metadata XML
4. Import เข้า FortiGate
5. ผูก SAML Server กับ User Group
6. เลือก WAN Interface สำหรับ SAML

Port ที่ต้องเปิด:

• 443 (HTTPS)
• 9443 หรือ 10443 (SAML Portal)

ข้อดี SAML:

• Single Sign-On
• MFA ผ่าน Microsoft Authenticator
• ไม่ต้องจำ Password หลายตัว