Настройка IPsec VPN на FortiGate пошагово (Remote Access)

Опубликовано: 3 Февраля 2026 | Время чтения: 8 минут | Автор: Технический отдел ООО «Альфаком»

Организация безопасного удаленного доступа для сотрудников — одна из ключевых задач любого системного администратора. Межсетевые экраны FortiGate предлагают мощный и надежный функционал IPsec VPN, который поддерживается встроенным клиентом FortiClient.

Рис 1. Классическая схема удаленного доступа через защищенный IPsec туннель

Благодаря графическому интерфейсу FortiOS (начиная с версии 6.4 и выше), рутинная настройка политик, маршрутизации и фаз шифрования сводится к использованию удобного инструмента — IPsec VPN Wizard.

В этой инструкции мы пошагово разберем, как поднять IPsec VPN туннель типа «Dial-up» (Remote Access) для удаленных сотрудников с использованием Pre-Shared Key (PSK).

Шаг 1: Подготовка групп и пользователей

Перед созданием туннеля необходимо завести пользователей, которым будет разрешен доступ, и объединить их в группу. Это базовая практика безопасности.

Перейдите в меню User & Authentication > User Definition и нажмите Create New.
Выберите тип Local User, задайте логин (например, vpn_user1) и надежный пароль.
Далее перейдите в User & Authentication > User Groups и создайте новую группу, например, VPN_Users.
Добавьте ранее созданного пользователя в эту группу.

Шаг 2: Запуск IPsec VPN Wizard

FortiOS предоставляет мастера настройки, который автоматически создаст необходимые интерфейсы, маршруты и фаервольные политики.

В главном меню слева перейдите в раздел VPN > IPsec Wizard.
В открывшемся окне задайте Имя туннеля (Name), например, Remote_VPN. (Внимание: имя не должно содержать пробелов, и его нельзя будет изменить позже).
В разделе Template Type выберите Remote Access.
В качестве Remote Device Type выберите FortiClient.
Нажмите Next.

Рис 2. Настройка параметров аутентификации в мастере IPsec VPN Configuration Wizard

Шаг 3: Настройка параметров аутентификации (Authentication)

На этом этапе мы укажем интерфейс, который «смотрит» в интернет, и зададим общий ключ.

Incoming Interface: выберите ваш внешний WAN-интерфейс (например, wan1), к которому будут подключаться клиенты.
Authentication Method: выберите Pre-shared Key.
Pre-shared Key (PSK): введите сложный ключ. Этот ключ потребуется ввести при настройке программы FortiClient у пользователя.
User Group: в выпадающем списке выберите созданную на первом шаге группу VPN_Users.
Нажмите Next.

Шаг 4: Настройка параметров сети (Policy & Routing)

Здесь мы определяем, к каким внутренним ресурсам получат доступ удаленные пользователи и какие IP-адреса им будут выдаваться внутри туннеля.

Local Interface: выберите внутренний интерфейс вашей компании (например, internal или lan), куда требуется доступ.
Local Address: выберите подсеть (например, all для доступа ко всей сети, или конкретную подсеть, созданную в Policy & Objects > Addresses).
Client Address Range: задайте пул IP-адресов, которые будут присваиваться удаленным клиентам. Например: 10.10.10.1 - 10.10.10.100. Убедитесь, что этот пул не пересекается с вашей основной локальной сетью!
Subnet Mask: обычно 255.255.255.0.
Опцию Enable Split Tunneling включайте, если хотите, чтобы в офис шел только корпоративный трафик, а обычный интернет у сотрудников работал напрямую.
Нажмите Next, проверьте Summary и нажмите Create.

                Магия Wizard: После нажатия кнопки Create, FortiGate автоматически создаст виртуальный интерфейс (IPsec Tunnel), пропишет статический маршрут на выданный пул адресов и создаст разрешающую IPv4 политику от туннеля к внутреннему интерфейсу.
            

Шаг 5: Настройка на стороне клиента (FortiClient)

На компьютере сотрудника установите бесплатную версию FortiClient VPN.

Откройте FortiClient и нажмите Configure VPN.
VPN Type: выберите IPsec VPN.
Connection Name: любое понятное имя (например, "Офис VPN").
Remote Gateway: пропишите внешний белый IP-адрес вашего FortiGate (тот, что на интерфейсе wan1).
Authentication Method: выберите Pre-Shared Key и введите тот самый ключ из Шага 3.
Нажмите Save.
Теперь, введя логин и пароль локального пользователя (из Шага 1), сотрудник установит защищенное соединение с корпоративной сетью.

Частые проблемы (Troubleshooting)

Если туннель не поднимается, обратите внимание на следующие моменты:

Убедитесь, что провайдер не блокирует порты UDP 500 и UDP 4500, необходимые для протокола IPsec (IKE).
Проверьте, что в Network > Interfaces на вашем WAN-интерфейсе не выключен административный доступ (Ping часто полезно оставить включенным при диагностике).
Сверьте логи в разделе Log & Report > VPN Events. Частая ошибка — опечатка в Pre-Shared Key (Phase 1 error) или несоответствие подсетей (Phase 2 error).