Fortigate SSL VPN Redistribution vào OSPF

Gần đây, tôi phải cấu hình truy cập từ xa bằng SSL VPN cho một khách hàng sử dụng firewall Fortinet. Mạng nội bộ của họ sử dụng OSPF, và khách hàng yêu cầu tích hợp SSL VPN vào giao thức định tuyến nội bộ.

Đây là cách triển khai OSPF đơn giản, sử dụng đường truyền MPLS thuê từ nhà cung cấp làm tuyến chính tới trung tâm dữ liệu (COLO) và tunnel IPSEC dự phòng nếu kết nối MPLS bị mất. OSPF đảm nhận việc chuyển mạch dự phòng tự động.

Cấu hình ban đầu

Trước tiên, chúng tôi tiến hành các bước cấu hình SSL VPN gồm:

  • Tạo dải IP mới cho truy cập từ xa

  • Thiết lập nhóm người dùng

  • Cấu hình LDAP

  • DNS

Sau khi xác nhận có thể kết nối từ xa thành công đến firewall, bước tiếp theo là cấu hình firewall để quảng bá dải IP SSL VPN vào OSPF.

Tôi đã thêm dải IP mới vào danh sách “advertised networks” trong OSPF. Tuy nhiên, khi kiểm tra bảng định tuyến của các router OSPF khác, dải IP mới không xuất hiện.

Sau khi tìm hiểu, tôi phát hiện ra rằng: Firewall Fortinet chỉ quảng bá dải IP SSL VPN thông qua việc phân phối lại định tuyến tĩnh (static route redistribution).

Do đó, ta cần tạo một route tĩnh “blackhole” cho dải IP này rồi cấu hình firewall để phân phối các route tĩnh vào OSPF.

Vấn đề:

“redistribute static” trong giao diện Fortinet là tùy chọn kiểu “tất cả hoặc không có gì” – nghĩa là nó sẽ phân phối tất cả các route tĩnh vào OSPF, tôi không mong muốn điều này.

Giải pháp: Sử dụng Route Map để lọc route cần phân phối

Route Map là một công cụ mạnh mẽ để tùy chỉnh chính sách định tuyến và kiểm soát quá trình phân phối vào OSPF (hoặc các giao thức khác).

Các bước thực hiện

Bước 1: Tạo static route kiểu blackhole

Vào giao diện web của Fortigate:

Network → Static Routes → Add Route

  • Destination: dải IP truy cập từ xa (SSL VPN IP range)

  • Device: chọn “blackhole”

Bước 2: Tạo danh sách IP prefix (Prefix List)

Truy cập vào CLI và nhập:

config router prefix-list
edit "NEW_PREFIX_LIST"
config rule
edit 1
set prefix 10.100.100.0 255.255.255.0
unset ge
unset le
next
edit 2
set action deny
set prefix any
unset ge
unset le
next
end
next
end

Bước 3: Tạo Route Map sử dụng prefix list

config router route-map
edit "A_New_RouteMap"
config rule
edit 1
set match-ip-address "NEW_PREFIX_LIST"
next
end
next
end

Bước 4: Kích hoạt phân phối static route vào OSPF và áp dụng Route 

FW1 # config router ospf
FW1 (ospf) # config redistribute static
FW1 (static) # set status enable
FW1 (static) # set routemap A_New_RouteMap
FW1 (static) # end
FW1 (ospf) # end
FW1 #

Kết quả mong đợi

Nếu dải IP SSL VPN đã nằm trong các network statement của OSPF trên firewall, sau các bước trên, dải IP mới sẽ được quảng bá vào bảng định tuyến OSPF, và các router khác trong cùng hệ thống sẽ học được route này.

Ghi chú: Bạn cũng có thể dùng Access List thay vì Prefix List, nhưng theo kinh nghiệm cá nhân, Prefix List dễ cấu hình và quản lý hơn.

Leave a Reply

Your email address will not be published. Required fields are marked *