Como configurar SSL VPN no FortiGate da Fortinet: guia completo passo a passo
- Audere Comércio em TI
- 21 de mai.
- 4 min de leitura
Atualizado: 27 de mai.
A SSL VPN no FortiGate permite que colaboradores acessem a rede corporativa de forma segura pela internet, utilizando criptografia SSL/TLS. Essa solução é amplamente utilizada para home office, acesso remoto a servidores, ERP, arquivos compartilhados e aplicações internas.
Neste guia completo você aprenderá:
Como configurar SSL VPN no FortiGate
Como criar usuários e grupos
Como configurar Portal SSL VPN
Como liberar acesso via Firewall Policy
Como configurar o FortiClient
Boas práticas de segurança
Solução de problemas comuns
O que é SSL VPN no FortiGate?
A SSL VPN (Secure Sockets Layer Virtual Private Network) permite acesso remoto seguro à rede corporativa através da internet utilizando HTTPS/TLS. O usuário pode se conectar utilizando o navegador ou o cliente FortiClient.
A Fortinet recomenda o uso de MFA (autenticação multifator), certificados válidos e atualização constante do FortiOS para aumentar a segurança da VPN.
Pré-requisitos
Antes de iniciar a configuração, tenha:
Firewall FortiGate configurado com acesso à internet
Interface WAN funcional
FortiOS atualizado
Usuário administrador
Porta TCP 443 ou personalizada liberada
FortiClient instalado nos dispositivos remotos
Topologia utilizada no exemplo
Neste tutorial utilizaremos:
Configuração | Valor |
Interface WAN | wan1 |
Rede interna | 192.168.1.0/24 |
SSL VPN IP Pool | 10.10.10.0/24 |
Porta SSL VPN | 10443 |
Usuário VPN | vpn.user |
Grupo VPN | SSLVPN_USERS |
Etapa 1 — Criar usuário SSL VPN
Acesse:
User & Authentication → User Definition
Clique em Create New.
Preencha:
Username: vpn.user
Password: senha forte
Type: Local User
Salve a configuração.
Etapa 2 — Criar grupo SSL VPN
Agora crie um grupo para facilitar políticas e gerenciamento.
Acesse:
User & Authentication → User Groups
Clique em Create New.
Configure:
Nome: SSLVPN_USERS
Adicione o usuário criado anteriormente
Clique em OK.
Etapa 3 — Configurar Portal SSL VPN
Acesse:
VPN → SSL-VPN Portals
Crie um novo portal.
Exemplo:
Campo | Valor |
Nome | tunnel-access |
Tunnel Mode | Enable |
Split Tunneling | Enable |
IP Pools | SSLVPN_TUNNEL_ADDR1 |
O Split Tunnel permite que apenas o tráfego corporativo passe pela VPN, reduzindo consumo de banda.
Etapa 4 — Configurar SSL VPN Settings
Acesse:
VPN → SSL-VPN Settings
Configure:
Campo | Valor |
Listen on Interface | wan1 |
Listen on Port | 10443 |
Server Certificate | Certificado válido |
Authentication/Portal Mapping | SSLVPN_USERS → tunnel-access |
A Fortinet recomenda utilizar certificados assinados por autoridade certificadora válida em vez do certificado padrão de fábrica.
Exemplo visual da configuração SSL VPN
Etapa 5 — Criar Firewall Policy SSL VPN
Agora permita o tráfego da VPN para a rede interna.
Acesse:
Policy & Objects → Firewall Policy
Clique em Create New.
Configure:
Campo | Valor |
Incoming Interface | ssl.root |
Outgoing Interface | LAN |
Source | all |
Destination | Rede Interna |
User Groups | SSLVPN_USERS |
Service | ALL |
Action | ACCEPT |
Se desejar liberar internet através da VPN Full Tunnel, crie também uma política da interface ssl.root para wan1.
Exemplo visual das Policies
Etapa 6 — Configurar o FortiClient
Baixe o cliente oficial:
FortiClient VPN
No FortiClient:
Vá em Remote Access
Clique em Add a new connection
Escolha SSL VPN
Configure:
Campo | Valor |
Connection Name | Empresa VPN |
Remote Gateway | IP público ou FQDN |
Port | 10443 |
Username | vpn.user |
Clique em Connect.
Exemplo visual do FortiClient
Configuração via CLI
Caso prefira CLI:
config user local
edit "vpn.user"
set type password
set passwd SUA_SENHA
next
end
config user group
edit "SSLVPN_USERS"
set member "vpn.user"
next
end
config vpn ssl web portal
edit "tunnel-access"
set tunnel-mode enable
set split-tunneling enable
set ip-pools "SSLVPN_TUNNEL_ADDR1"
next
end
config vpn ssl settings
set servercert "Fortinet_Factory"
set source-interface "wan1"
set default-portal "tunnel-access"
config authentication-rule
edit 1
set groups "SSLVPN_USERS"
set portal "tunnel-access"
next
end
end
Como verificar conexões ativas
Acesse:
VPN → Monitor → SSL-VPN Monitor
Ali você verá:
Usuários conectados
IP atribuído
Tempo de conexão
Tráfego utilizado
Boas práticas de segurança
Utilize MFA
A autenticação multifator reduz drasticamente riscos de invasão.
A Fortinet recomenda FortiToken ou integração com MFA externo.
Utilize certificado válido
Evite o certificado padrão do FortiGate.
Utilize:
Let's Encrypt
DigiCert
GlobalSign
Sectigo
Troque a porta padrão
Evite usar TCP 443 diretamente.
Exemplo:
10443
4443
8443
Restrinja países e IPs
Utilize políticas GEO-IP para limitar tentativas de ataque.
Atualize o FortiOS
Vulnerabilidades SSL VPN são frequentemente exploradas.
Mantenha o FortiGate atualizado.
Problemas comuns e soluções
Erro “Credential or SSLVPN configuration is wrong (-7200)”
Possíveis causas:
Usuário não associado ao grupo
Portal incorreto
Firewall Policy ausente
Interface WAN incorreta
Esse erro é bastante discutido na comunidade Fortinet.
Não conecta externamente
Verifique:
NAT da operadora
Porta liberada
IP público válido
Política WAN
SSL VPN lenta
Habilite:
Split Tunnel
DTLS
MFA otimizado
A própria Fortinet recomenda DTLS para melhor performance.
SSL VPN ou IPsec VPN?
SSL VPN | IPsec VPN |
Fácil configuração | Maior performance |
Ideal para home office | Melhor throughput |
Usa HTTPS/TLS | Usa IPsec |
Mais simples para usuários | Mais robusta |
Em versões recentes do FortiOS, alguns modelos estão migrando foco para IPsec e ZTNA.
Conclusão
A SSL VPN no FortiGate é uma excelente solução para acesso remoto seguro, especialmente para empresas que precisam disponibilizar home office, acesso a servidores e aplicações internas com praticidade e segurança.
Quando configurada corretamente com:
MFA
Certificado válido
Split Tunnel
Regras restritas
FortiOS atualizado
ela se torna uma solução extremamente eficiente e segura para ambientes corporativos.
Comentários