VPN SSL FortiGate : Comment configurer un accès distant sécurisé

VPN SSL FortiGate : Comment configurer un accès distant sécurisé

Image by: Dan Nelson

Introduction

Saviez-vous que 74% des entreprises françaises ont subi au moins une cyberattaque via des connexions distantes mal sécurisées en 2023 (selon l’ANSSI) ? Dans ce contexte, configurer un tunnel VPN SSL sur votre firewall FortiGate devient crucial pour permettre à vos collaborateurs de travailler à distance en toute sécurité. Ce tutoriel pratique vous guidera pas à pas dans l’implémentation d’une solution professionnelle de télétravail sécurisé. Vous apprendrez à créer des utilisateurs (locaux ou via LDAP), configurer le portail d’accès, déployer le client FortiClient, et établir des règles de pare-feu robustes. Que vous soyez administrateur réseau débutant ou expérimenté, cette configuration essentielle protègera vos données sensibles contre les interceptions.

Configurer l’authentification : utilisateurs locaux ou LDAP

La première étape pour déployer votre tunnel VPN SSL consiste à définir la méthode d’authentification des utilisateurs. FortiGate propose deux approches principales :

Création d’utilisateurs locaux

Idéal pour les petites structures, cette méthode stocke les identifiants directement sur le firewall :

  1. Accédez à Utilisateurs & Authentification > Utilisateurs locaux
  2. Cliquez sur Créer nouveau et saisissez le nom d’utilisateur
  3. Définissez un mot de passe complexe (12 caractères minimum avec chiffres et symboles)
  4. Attribuez le groupe « remote-access » dans l’onglet Appartenance aux groupes

Intégration LDAP/Active Directory

Pour les entreprises avec annuaire existant, lier FortiGate à votre serveur LDAP simplifie la gestion :

  • Dans Système > Serveurs LDAP, créez un nouveau serveur
  • Saisissez l’adresse IP du contrôleur de domaine et le DN de base
  • Testez la connexion avec des identifiants administrateur
  • Créez un groupe d’accès VPN référençant le groupe AD « Télétravailleurs »

Astuce : Activez l’authentification à deux facteurs via FortiToken pour renforcer la sécurité, surtout pour les comptes privilégiés. Consultez notre guide sur les bonnes pratiques d’authentification.

Paramétrer le portail web SSL-VPN sur FortiGate

Le portail web est la porte d’entrée sécurisée vers vos ressources internes. Configuration clé :

Activation du service SSL-VPN

  1. Accédez à Réseau > Interfaces et sélectionnez l’interface publique (ex : wan1)
  2. Cochez « Écouter le trafic HTTPS » et définissez le port (443 par défaut)
  3. Dans VPN > SSL-VPN Settings, activez le mode « Accès par tunnel »

Personnalisation du portail

Dans VPN > Portails SSL-VPN :

  • Nommez votre portail (ex : « Accès-Télétravail »)
  • Sélectionnez le groupe d’utilisateurs autorisés
  • Choisissez les méthodes d’authentification (LDAP + FortiToken recommandé)
  • Limitez les adresses IP sources si nécessaire
Paramètre Valeur recommandée Impact sécurité
Port HTTPS 8443 (alternative) Évite le scanning automatique
Session idle timeout 30 minutes Limite les sessions inactives
Chiffrement AES256-SHA256 Niveau militaire

Déployer et configurer FortiClient pour les utilisateurs

FortiClient est l’application qui établira le tunnel VPN SSL depuis les postes distants. Deux modes de déploiement :

Installation manuelle

Téléchargez la dernière version sur le site officiel Fortinet. Après installation :

  1. Ouvrez FortiClient et cliquez sur « Configurer VPN »
  2. Saisissez le nom de connexion (ex : « VPN Entreprise »)
  3. Entrez l’adresse IP publique du FortiGate et le port SSL-VPN
  4. Activez « Sauvegarder le mot de passe » si autorisé par la politique de sécurité

Déploiement centralisé avec EMS

Pour les grands parcs, utilisez FortiClient EMS (Endpoint Management Server) :

  • Créez un profil VPN prédéfini dans la console EMS
  • Déployez-le via GPO ou script d’installation silencieuse
  • Activez la fonction « Always-On VPN » pour une protection permanente

Important : Configurez les paramètres de kill-switch dans FortiClient pour bloquer tout trafic hors VPN en cas de déconnexion.

Créer les règles de pare-feu pour le tunnel VPN SSL

Sans règles de pare-feu adaptées, votre tunnel restera inopérant. Procédure :

Étape 1 : Autoriser le trafic entrant

  1. Accédez à Politiques & Objets > Politiques de pare-feu
  2. Créez une nouvelle politique entrante :
    • Interface source : portail SSL-VPN
    • Interface destination : réseau interne (ex : lan)
    • Service : ALL (ou restreindre aux services nécessaires)

Étape 2 : Restreindre l’accès par groupes

Appliquez le principe du moindre privilège :

  • Dans l’onglet « Utilisateurs », sélectionnez le groupe d’utilisateurs VPN
  • Limitez les adresses IP destinations aux serveurs autorisés (ex : 10.0.1.0/24)
  • Activez l’inspection de sécurité (IPS, antivirus, filtrage web)

Conseil : Dupliquez cette règle pour créer des politiques granulaires – une pour les développeurs (accès aux serveurs DEV), une autre pour le support (accès au ticketing), etc.

Renforcer la sécurité du tunnel VPN

Plusieurs mesures complémentaires protègent contre les menaces modernes :

Protection contre les attaques par force brute

  • Activez le captcha après 3 tentatives échouées
  • Configurez le blocage IP temporaire dans Sécurité > Protections de profil

Contrôle des appareils avec FortiGate NAC

Intégrez la solution NAC (Network Access Control) pour :

  1. Vérifier la présence d’antivirus à jour
  2. Contrôler les versions du système d’exploitation
  3. Isoler les appareils non conformes dans un réseau de quarantaine

Chiffrement avancé

Dans VPN > Paramètres SSL-VPN > Avancé :

  • Sélectionnez TLS 1.3 comme version minimale
  • Désactivez les algorithmes vulnérables (SSLv3, RC4)
  • Activez la PFS (Perfect Forward Secrecy)

Tests et dépannage de la connexion

Validez votre configuration avec ces vérifications :

Scénarios de test

  • Connexion depuis un réseau externe (4G/hotspot)
  • Accès à une ressource interne (partage réseau ou intranet)
  • Test de débit avec un fichier volumineux

Outils de diagnostic

Utilisez ces commandes en CLI FortiGate :

diagnose debug application sslvpn -1
diagnose vpn sslvpnc list

Solutions aux erreurs courantes :

  • Erreur 91 : Vérifiez la synchronisation horaire (NTP)
  • Connexion lente : Désactivez l’inspection SSL si non nécessaire
  • Accès refusé : Contrôlez les règles de pare-feu et les groupes utilisateurs

Frequently asked questions

Quelle est la différence entre SSL-VPN et IPsec sur FortiGate ?

Le tunnel VPN SSL utilise le port HTTPS (443) et passe facilement les pare-feu, idéal pour le télétravail. IPsec offre de meilleures performances pour les interconnexions site-à-site mais nécessite des ports UDP spécifiques souvent bloqués dans les hotspots publics.

Puis-je utiliser le VPN sans installer FortiClient ?

Oui, via le mode « Web-only » qui donne accès à des applications spécifiques (RDP, SSH) via un navigateur. Cependant, le tunnel complet avec FortiClient est nécessaire pour un accès réseau transparent comme si vous étiez sur site.

Combien d’utilisateurs VPN simultanés un FortiGate peut-il supporter ?

Cela dépend du modèle : un FortiGate 60F gère environ 50 tunnels SSL-VPN, tandis qu’un 100F en supporte 500. Consultez la matrice des produits Fortinet pour dimensionner correctement.

Comment auditer les connexions VPN actives ?

Dans l’interface d’administration, accédez à Réseau > Interfaces et cliquez sur l’icône « Utilisateers » de l’interface SSL-VPN. Vous verrez les utilisateurs connectés, leur durée de session et le trafic consommé.

Conclusion

Configurer un tunnel VPN SSL sur FortiGate transforme radicalement la sécurité de votre télétravail. En suivant ce guide, vous avez appris à créer des méthodes d’authentification robustes (locales ou LDAP), paramétrer le portail d’accès, déployer FortiClient, et établir des règles de pare-feu granulaires. N’oubliez pas que la maintenance régulière est cruciale : mettez à jour les certificats SSL, analysez les logs de connexion, et formez vos utilisateurs aux bonnes pratiques. Pour approfondir, téléchargez notre checklist de sécurité VPN gratuite. Testez dès aujourd’hui votre configuration avec un collaborateur et profitez d’un accès distant sécurisé !