Cara Setup SSL-VPN FortiGate: Panduan Remote Access Aman untuk Tim yang Bekerja dari Rumah

Di era kerja hybrid, kemampuan karyawan untuk mengakses sumber daya jaringan kantor (file server, ERP, database internal) secara aman dari rumah adalah sebuah keharusan. SSL-VPN pada FortiGate adalah solusi paling populer untuk kebutuhan ini — mudah diimplementasikan, aman dengan enkripsi TLS, dan mendukung autentikasi multi-faktor (MFA).

Artikel ini menjelaskan langkah-langkah konfigurasi SSL-VPN FortiGate dalam mode Web Mode dan Tunnel Mode (menggunakan Aplikasi FortiClient).

Perbedaan Web Mode vs Tunnel Mode SSL-VPN

• Web Mode: Pengguna mengakses portal VPN melalui browser biasa tanpa perlu menginstal software tambahan. Cocok untuk akses terbatas ke aplikasi web internal tertentu (RDP via web, file share, dll). Lebih mudah, namun lebih terbatas.
• Tunnel Mode (FortiClient): Karyawan menginstal aplikasi FortiClient di laptop/PC mereka. Seluruh traffic dari perangkat mereka akan dienkripsi dan dikirimkan melalui tunnel VPN seolah mereka berada di dalam jaringan kantor. Akses lebih penuh dan fleksibel.

Langkah 1: Buat User dan Grup VPN

Buka menu User & Authentication > User Definition. Klik Create New > Local User:

• Masukkan Username dan Password untuk pengguna VPN.
• Aktifkan Two-factor Authentication jika Anda ingin menambahkan lapisan keamanan MFA via email atau aplikasi autentikator (FortiToken).
• Simpan dan ulangi untuk seluruh pengguna VPN yang dibutuhkan.

Selanjutnya, buat grup pengguna di User & Authentication > User Groups. Buat grup baru (misalnya "VPN-Users") dan tambahkan semua user VPN yang telah dibuat ke dalam grup ini.

Langkah 2: Buat Portal SSL-VPN

Buka menu VPN > SSL-VPN Portals. Klik Create New:

• Name: VPN-Portal-Kantor
• Tunnel Mode: Aktifkan jika ingin menggunakan FortiClient (Tunnel Mode). Atur IP Pool — ini adalah range alamat IP yang akan diberikan ke perangkat karyawan saat terhubung VPN (misalnya 10.212.134.200 – 10.212.134.210). Pastikan range ini tidak bertabrakan dengan subnet LAN yang sudah ada.
• Web Mode: Aktifkan jika ingin menambahkan akses berbasis browser. Tambahkan bookmark (shortcut) ke server atau aplikasi web internal.
• Aktifkan opsi Split Tunneling jika Anda ingin hanya traffic ke jaringan kantor saja yang melewati VPN — traffic internet umum karyawan tetap langsung dari koneksi rumah mereka (menghemat bandwidth VPN).

Langkah 3: Konfigurasi SSL-VPN Settings

Buka menu VPN > SSL-VPN Settings:

• Listen on Interface: Pilih interface WAN (wan1) — ini adalah interface tempat karyawan akan terhubung dari internet.
• Listen on Port: Default adalah 10443 atau 443. Disarankan mengubah dari port 443 standar jika port tersebut sudah digunakan untuk layanan lain.
• Server Certificate: Pilih sertifikat SSL. Untuk penggunaan produksi, gunakan sertifikat SSL yang valid (misalnya dari Let's Encrypt yang di-bind ke domain publik Anda) agar pengguna tidak mendapat peringatan browser.
• Authentication/Portal Mapping: Tambahkan rule — mapping grup "VPN-Users" ke portal "VPN-Portal-Kantor" yang sudah dibuat.

Langkah 4: Buat Firewall Policy untuk SSL-VPN

Buka Policy & Objects > Firewall Policy. Buat dua policy baru:

Policy 1 — Akses VPN ke LAN:

• Incoming Interface: ssl.root (interface virtual SSL-VPN)
• Outgoing Interface: lan (atau internal)
• Source: IP Pool VPN (misalnya 10.212.134.0/24) + User Group "VPN-Users"
• Destination: Subnet LAN (misalnya 192.168.10.0/24) atau server spesifik yang boleh diakses
• Service: Sesuaikan dengan kebutuhan (RDP, SMB file sharing, ALL, dll)
• Action: ACCEPT
• NAT: Matikan (Disable) — karena sudah ada routing via tunnel

Langkah 5: Download & Konfigurasi FortiClient di Sisi Pengguna

Karyawan perlu mengunduh aplikasi FortiClient VPN (versi gratis tersedia di situs resmi Fortinet) di laptop atau PC mereka. Setelah instalasi:

1. Buka FortiClient VPN, klik Configure VPN.
2. Pilih jenis koneksi: SSL-VPN.
3. Isi kolom Remote Gateway dengan alamat IP publik atau domain FortiGate kantor, beserta port yang digunakan (misalnya 10443).
4. Simpan konfigurasi, lalu klik Connect dan masukkan username & password.

Tingkatkan Keamanan VPN dengan Multi-Factor Authentication (MFA)

Mengaktifkan MFA sangat disarankan untuk melindungi VPN dari serangan credential stuffing (pencurian username/password). Fortinet mendukung MFA via:

• FortiToken Mobile: Aplikasi OTP (One-Time Password) di smartphone karyawan yang terintegrasi penuh dengan FortiAuthenticator.
• Email OTP: Kode verifikasi dikirim via email setiap kali pengguna login — mudah diimplementasikan tanpa hardware tambahan.
• Integrasi LDAP/Active Directory: Sinkronkan user dan grup VPN langsung dari domain Windows Active Directory perusahaan Anda.

Butuh Bantuan Setup VPN FortiGate untuk Kantor Anda?

Konfigurasi SSL-VPN yang aman bukan hanya soal mengikuti langkah-langkah teknis — namun juga memastikan tidak ada celah (misconfig) yang bisa dieksploitasi. Tim engineer Yajada IT Solutions yang berpengalaman siap membantu setup VPN FortiGate untuk perusahaan Anda dengan standar keamanan terbaik. Hubungi kami untuk konsultasi.