Cara Setting SSL VPN FortiGate untuk Remote Working: Panduan Teknis Lengkap

Kebutuhan akses jaringan kantor dari luar lokasi (remote working) kini menjadi keharusan bagi banyak perusahaan. Karyawan perlu mengakses file server internal, sistem ERP, database, atau Aplikasi intranet secara aman dari rumah atau saat bepergian.

FortiGate menyediakan dua mode VPN utama: IPsec VPN (umumnya untuk site-to-site) dan SSL VPN (optimal untuk akses karyawan individual dari luar jaringan). Panduan ini fokus pada konfigurasi SSL VPN menggunakan aplikasi FortiClient — solusi paling umum dan paling mudah diimplementasikan untuk kebutuhan remote working.

Memahami Dua Mode SSL VPN pada FortiGate

• Web Mode (Clientless): Karyawan mengakses jaringan kantor melalui browser web tanpa perlu menginstall aplikasi apapun. Cocok untuk akses ke aplikasi web internal. Keterbatasan: tidak semua jenis akses jaringan (seperti RDP atau file share SMB) bisa dilakukan.
• Tunnel Mode: Karyawan menginstall aplikasi FortiClient di laptop/PC mereka. Setelah terhubung, perangkat tersebut "seolah-olah" berada di dalam jaringan kantor secara penuh — bisa mengakses file server, printer jaringan, ERP, dan semua resource internal. Ini adalah mode yang paling umum dan direkomendasikan.

Langkah Konfigurasi SSL VPN Tunnel Mode di FortiGate

Konfigurasi dilakukan melalui GUI FortiGate (https://[IP-FortiGate]). Semua langkah berikut dilakukan oleh administrator jaringan dengan akses admin ke FortiGate.

Langkah 1: Buat User / User Group untuk VPN

Buka User & Authentication → User Definition → Create New. Isi username dan password untuk setiap karyawan yang akan menggunakan VPN. Untuk keamanan lebih tinggi, integrasikan dengan Active Directory (LDAP) agar karyawan menggunakan password Windows domain mereka.

Setelah user dibuat, buat User Group (misal: "SSL-VPN-Users") dan masukkan semua user yang berhak menggunakan VPN ke dalam group ini.

Langkah 2: Konfigurasi SSL VPN Settings

Buka VPN → SSL-VPN Settings. Pengaturan utama yang perlu dikonfigurasi:

• Listen on Interface: Pilih interface WAN yang terhubung ke internet.
• Listen on Port: Default 10443. Bisa diganti untuk menghindari port scanning otomatis.
• Tunnel Mode Client Settings: Tentukan IP Pool yang akan diberikan ke client VPN (misal: 10.10.100.1 – 10.10.100.100).
• DNS Server: Arahkan ke DNS server internal (Active Directory) agar resolusi nama domain internal berfungsi.
• Authentication/Portal Mapping: Map User Group "SSL-VPN-Users" ke portal "full-access" atau buat portal kustom sesuai kebutuhan akses.

Langkah 3: Buat Firewall Policy untuk SSL VPN

SSL VPN tidak akan berfungsi tanpa policy yang mengizinkan traffic dari tunnel VPN ke jaringan internal. Buat firewall policy baru:

• Source Interface: ssl.root (interface virtual SSL VPN)
• Destination Interface: Interface jaringan LAN internal Anda (misal: port3)
• Source Address: Pilih IP Pool yang sudah dibuat di langkah 2
• Destination Address: Resource internal yang boleh diakses (bisa all, atau dibatasi ke IP tertentu untuk keamanan lebih ketat)
• Action: Accept
• NAT: Aktifkan jika diperlukan (umumnya diaktifkan)

Langkah 4: Instalasi dan Konfigurasi FortiClient di PC Karyawan

Karyawan mengunduh aplikasi FortiClient VPN (versi free tersedia di forticlient.com). Setelah diinstall, tambahkan koneksi baru:

• Connection Name: Nama bebas (misal: "VPN Kantor")
• Remote Gateway: IP publik atau domain kantor (misal: vpn.perusahaan.com)
• Port: Sesuaikan dengan Listen Port yang dikonfigurasi di langkah 2
• Username: Username yang sudah dibuat di langkah 1

Karyawan cukup klik Connect, masukkan password, dan koneksi VPN terenkripsi ke jaringan kantor pun aktif.

Rekomendasi Keamanan Tambahan untuk SSL VPN

• Aktifkan Multi-Factor Authentication (MFA): Tambahkan verifikasi OTP (One-Time Password) via email, SMS, atau aplikasi authenticator (FortiToken Mobile) agar meskipun password karyawan bocor, akses VPN tetap tidak bisa dilakukan tanpa OTP.
• Batasi IP Sumber: Jika memungkinkan, batasi akses VPN hanya dari rentang IP tertentu (misal: ISP tertentu) untuk mengurangi permukaan serangan.
• Aktifkan Host Compliance Check: FortiClient bisa dikonfigurasi untuk memeriksa apakah perangkat yang mencoba konek memiliki antivirus aktif dan patch OS terbaru sebelum diizinkan masuk jaringan.
• Monitor SSL VPN Logs secara Berkala: Periksa log di FortiGate (Monitor → SSL-VPN Monitor) untuk mendeteksi login yang mencurigakan atau upaya brute-force password.

Tim engineer Yajada siap membantu konfigurasi SSL VPN FortiGate di kantor atau pabrik Anda. Hubungi kami melalui jasa konfigurasi FortiGate Cikarang dan area Jabodetabek lainnya untuk konsultasi gratis.