
Image by: Dan Nelson
Comprendre les fondamentaux du VPN SSL FortiGate
Selon une étude récente de Gartner, 78% des entreprises ont adopté le travail hybride, accentuant le besoin critique de solutions d’accès distant sécurisées. Le tunnel VPN SSL sur FortiGate répond à ce défi en créant une connexion cryptée entre les utilisateurs distants et le réseau d’entreprise via un simple navigateur ou le client léger FortiClient. Contrairement aux VPN IPsec traditionnels, le VPN SSL utilise le port TCP/443 (HTTPS), contournant efficacement les restrictions de pare-feu et nécessitant aucune configuration client complexe initiale.
L’architecture repose sur deux composants clés : le portail web (point d’entrée authentifié) et le tunnel SSL qui transporte le trafic chiffré. Fortinet intègre des protocoles robustes comme TLS 1.3 et DTLS pour optimiser performances et sécurité. Cette approche réduit les risques d’exfiltration de données, surtout avec l’implémentation du zéro trust, vérifiant systématiquement l’identité et la conformité des terminaux avant l’accès.
Principaux avantages :
- Déploiement simplifié : Pas de pré-configuration réseau côté client
- Compatibilité étendue : Fonctionne derrière NAT/CGNAT
- Contrôle granulaire : Politiques d’accès basées sur l’utilisateur/groupe
- Économies opérationnelles : Réduction des coûts de gestion par rapport aux VPN IPsec
Configuration initiale du portail VPN SSL
Commencez par générer un certificat SSL valide (interne ou public) dans Système > Certificats. Un certificat auto-signé déclenchera des alertes de sécurité dans les navigateurs, compromettant l’expérience utilisateur. Ensuite, activez le portail SSL VPN :
- Accédez à Réseau privé virtuel > SSL-VPN Portals et créez un nouveau portail
- Spécifiez l’interface WAN publique (ex: port1) et liez le certificat
- Définissez la plage d’adresses IP du pool DHCP (ex: 10.10.100.100-200)
- Activez DTLS pour accélérer le trafic UDP (crucial pour la voix/vidéo)
Configurez les politiques de firewall sous Stratégies et objets > Stratégies IPv4 :
- Autorisez le trafic entrant (WAN vers portail SSL-VPN) sur TCP/443 et UDP/443 (DTLS)
- Créez une politique sortante (interface SSL-VPN vers LAN) limitant l’accès aux sous-réseaux nécessaires
Expert tip : Segmentez les utilisateurs avec des portails multiples. Par exemple, un portail « contractors » avec accès restreint et un portail « employees » avec accès complet. Auditez régulièrement les journaux (Log & Report > Événements VPN) pour détecter tentatives intrusives.
Intégration avec Active Directory/LDAP
L’intégration à Active Directory centralise l’authentification et applique les politiques de groupe. Dans FortiGate :
- Allez dans Système > Serveurs d’authentification et créez un nouveau serveur LDAP
- Saisissez l’IP du contrôleur de domaine, le port 389 (ou 636 pour LDAPS), et le DN de base (ex: DC=entreprise,DC=local)
- Ajoutez un compte service AD avec droits « Lecture » sur l’unité d’organisation (OU) cible
- Testez la liaison avec « Vérifier »
Ensuite, créez un groupe d’utilisateurs sous Utilisateurs et authentification > Groupes d’utilisateurs en sélectionnant le serveur LDAP. Appliquez des filtres pour limiter l’accès :
- Utilisez memberOf=CN=VPN_Users,OU=Groups,DC=entreprise,DC=local pour cibler un groupe AD spécifique
- Activez la vérification double via FortiToken ou SMS pour les accès sensibles
| Méthode d’authentification | Sécurité | Complexité | Cas d’usage |
|---|---|---|---|
| Local DB (FortiGate) | Moyenne | Faible | Petites équipes < 20 utilisateurs |
| Active Directory/LDAP | Élevée | Modérée | Environnements Windows, politiques de mot de passe centralisées |
| SAML 2.0 | Très élevée | Complexe | Intégration Azure AD/Okta, authentification unique (SSO) |
Déploiement et provisionnement de FortiClient
FortiClient offre une expérience transparente avec des fonctions étendues comme l’inspection EDR. Pour le provisionnement automatique :
- Téléchargez l’EMS (Endpoint Management Server) depuis le site Fortinet
- Dans FortiClient EMS, créez un profil VPN avec l’adresse du portail et les paramètres d’authentification
- Générez un fichier de configuration (.sslvpn) et hébergez-le sur un serveur web interne
- Dans FortiGate (Réseau privé virtuel > Client VPN SSL), activez le téléchargement automatique via URL
Les utilisateurs n’ont qu’à installer FortiClient, saisir l’adresse du portail, et leurs identifiants AD. Le client récupère automatiquement la configuration et les politiques de sécurité. Pour les appareils non gérés, l’accès via navigateur reste possible, mais avec des capacités réduites. Consultez notre guide d’hygiène réseau pour durcir les terminaux distants.
Optimisations avancées : split-tunneling et filtrage web
Le split-tunneling est vital pour désengorger le trafic : il route seulement le trafic destiné au réseau d’entreprise via le VPN, laissant le reste (ex: YouTube) en direct. Configurez-le sous Réseau privé virtuel > Tunnels SSL-VPN :
- Activez « Mode split-tunneling »
- Listez les sous-réseaux d’entreprise dans « Adresses IPv4 » (ex: 192.168.1.0/24)
- Excluez les services cloud critiques (Office 365, Salesforce) pour améliorer les performances
Appliquez le filtrage web avec les services FortiGuard :
- Créez un profil de filtrage (Sécurité > Filtrage web) en bloquant catégories à risque (malware, phishing)
- Liez-le au tunnel SSL-VPN via une stratégie de sécurité (Stratégies et objets > Stratégies IPv4)
- Activez l’inspection SSL pour décrypter et analyser le trafic HTTPS (nécessite un certificat CA déployé)
Attention : Le split-tunneling réduit la sécurité pour le trafic exclu. Compensez avec un DNS sécurisé (ex: FortiGuard DNS) et un client EDR sur les terminaux. Testez votre configuration avec des outils de pénétration.
Frequently asked questions
Quelle est la différence entre VPN SSL et IPsec sur FortiGate ?
Le VPN SSL utilise le port HTTPS (443), est plus facile à déployer sans client pré-installé, et traverse mieux les NAT. L’IPsec offre des débits plus élevés pour les site-to-site mais nécessite une configuration client complexe et ouvre le port UDP 500, souvent bloqué.
Comment dépanner une lenteur de connexion VPN SSL ?
1) Activez DTLS pour le trafic UDP. 2) Vérifiez la MTU (désactivez « fragment oversized packets »). 3) Excluez les services cloud du tunnel via split-tunneling. 4) Montez en version Firmware (les builds 7.2+ optimisent le chiffrement AES-GCM).
Puis-je forcer l’authentification à deux facteurs (2FA) ?
Oui. Sous Utilisateurs & Authentification > Stratégies, créez une stratégie appliquant FortiToken ou SMS pour le groupe « SSL-VPN ». Combinez-la avec une politique NAC pour vérifier l’état du poste.
Le filtrage web fonctionne-t-il avec le mode sans client (browser) ?
Non, le filtrage via FortiGuard nécessite FortiClient. Le mode portail web n’offre que l’accès aux applications internes via reverse-proxy, sans inspection du trafic Internet local.
Conclusion
Configurer un tunnel VPN SSL FortiGate optimisé transforme la sécurité du télétravail : intégration transparente à l’Active Directory, déploiement scalabe de FortiClient, et contrôles granulaires via split-tunneling et filtrage web. En suivant ce guide, vous réduisez les risques de fuites de données tout en garantissant une expérience utilisateur fluide. N’oubliez pas de : 1) Mettre à jour régulièrement le firmware, 2) Tester les politiques de filtrage, 3) Auditer les logs d’accès. Pour approfondir, explorez nos ressources avancées sur FortiGate. Protégez votre réseau distant dès aujourd’hui en appliquant ces bonnes pratiques éprouvées.
