Настройка IPsec VPN на FortiGate пошагово (Remote Access)

Удалённый доступ для сотрудников — частая задача. На FortiGate IPsec VPN поднимается без ручного вписывания фаз шифрования: есть IPsec VPN Wizard, который делает за тебя интерфейсы, маршруты и политики.

Начиная с FortiOS 6.4, вся настройка политик, маршрутизации и фаз шифрования — это пара экранов в Wizard'е.

Ниже — пошаговый подъём IPsec VPN «Dial-up» (Remote Access) с аутентификацией по Pre-Shared Key для удалённых клиентов FortiClient.

Шаг 1: Подготовка групп и пользователей

Перед созданием туннеля необходимо завести пользователей, которым будет разрешен доступ, и объединить их в группу. Это базовая практика безопасности.

• Перейдите в меню User & Authentication > User Definition и нажмите Create New.
• Выберите тип Local User, задайте логин (например, vpn_user1) и надежный пароль.
• Далее перейдите в User & Authentication > User Groups и создайте новую группу, например, VPN_Users.
• Добавьте ранее созданного пользователя в эту группу.

Шаг 2: Запуск IPsec VPN Wizard

FortiOS предоставляет мастера настройки, который автоматически создаст необходимые интерфейсы, маршруты и фаервольные политики.

• В главном меню слева перейдите в раздел VPN > IPsec Wizard.
• В открывшемся окне задайте Имя туннеля (Name), например, Remote_VPN. (Внимание: имя не должно содержать пробелов, и его нельзя будет изменить позже).
• В разделе Template Type выберите Remote Access.
• В качестве Remote Device Type выберите FortiClient.
• Нажмите Next.

Шаг 3: Настройка параметров аутентификации (Authentication)

На этом этапе мы укажем интерфейс, который «смотрит» в интернет, и зададим общий ключ.

• Incoming Interface: выберите ваш внешний WAN-интерфейс (например, wan1), к которому будут подключаться клиенты.
• Authentication Method: выберите Pre-shared Key.
• Pre-shared Key (PSK): введите сложный ключ. Этот ключ потребуется ввести при настройке программы FortiClient у пользователя.
• User Group: в выпадающем списке выберите созданную на первом шаге группу VPN_Users.
• Нажмите Next.

Шаг 4: Настройка параметров сети (Policy & Routing)

Здесь мы определяем, к каким внутренним ресурсам получат доступ удаленные пользователи и какие IP-адреса им будут выдаваться внутри туннеля.

• Local Interface: выберите внутренний интерфейс вашей компании (например, internal или lan), куда требуется доступ.
• Local Address: выберите подсеть (например, all для доступа ко всей сети, или конкретную подсеть, созданную в Policy & Objects > Addresses).
• Client Address Range: задайте пул IP-адресов, которые будут присваиваться удаленным клиентам. Например: 10.10.10.1 - 10.10.10.100. Убедитесь, что этот пул не пересекается с вашей основной локальной сетью!
• Subnet Mask: обычно 255.255.255.0.
• Опцию Enable Split Tunneling включайте, если хотите, чтобы в офис шел только корпоративный трафик, а обычный интернет у сотрудников работал напрямую.
• Нажмите Next, проверьте Summary и нажмите Create.

Шаг 5: Настройка на стороне клиента (FortiClient)

На компьютере сотрудника установите бесплатную версию FortiClient VPN.

• Откройте FortiClient и нажмите Configure VPN.
• VPN Type: выберите IPsec VPN.
• Connection Name: любое понятное имя (например, "Офис VPN").
• Remote Gateway: пропишите внешний белый IP-адрес вашего FortiGate (тот, что на интерфейсе wan1).
• Authentication Method: выберите Pre-Shared Key и введите тот самый ключ из Шага 3.
• Нажмите Save.
• Теперь, введя логин и пароль локального пользователя (из Шага 1), сотрудник установит защищенное соединение с корпоративной сетью.

Частые проблемы (Troubleshooting)

Если туннель не поднимается, обратите внимание на следующие моменты:

1. Убедитесь, что провайдер не блокирует порты UDP 500 и UDP 4500, необходимые для протокола IPsec (IKE).
2. Проверьте, что в Network > Interfaces на вашем WAN-интерфейсе не выключен административный доступ (Ping часто полезно оставить включенным при диагностике).
3. Сверьте логи в разделе Log & Report > VPN Events. Частая ошибка — опечатка в Pre-Shared Key (Phase 1 error) или несоответствие подсетей (Phase 2 error).