Tento článek ukazuje, jak vytvořit připojení k virtuální privátní síti (VPN) Internet Protocol Security (IPsec) mezi Vyatta® routerem (Rackspace) a FortiGate® pomocí dynamického názvu Domain Name System (DDNS). Konfigurace IPsec VPN mezi dvěma koncovými body obvykle vyžaduje astatickou adresu internetového protokolu (IP) na obou koncích. Serverové zařízení Vyatta má však možnost nakonfigurovat název DDNS pro konfiguraci aVPN.
Následující tabulka ukazuje levou stranu jako bod A (zařízení Rackspace Vyattarouter) a pravou stranu (FortiGate s dynamickou IP adresou a názvem DDNS) jako bod B:
| Bod A (směrovač Vyatta) | Bod B (FortiGate s dynamickou IP adresou a názvem DDNS) |
|---|---|
| Zařízení :Směrovač Vyatta v Rackspace eth0 :134.213.135.XXX (veřejná IP) eth1 :10.181.200.XXX (soukromá IP) | Zařízení :Omezte firewall wan1 :Dynamická IP s názvem DDNS forti.fortiddns.com interní :192.168.10.0/24 (podsíť místní sítě (LAN)) |
Po úspěšném navázání spojení VPN tunelu typu site-to-site mezi Vyatta a FortiGate můžete pingnout na soukromou IP adresu routeru Vyatta (např. 10.181.200.XXX) z libovolné interní IP adresy (např. 192.168.1.7).
FortiGate vám umožňuje vytvořit název DDNS. Chcete-li se dozvědět, jak nakonfigurovat DDNSname ve FortiGate, viz Jak nastavit DDNS na zařízení FortiGate.
Krok 1:Konfigurace IPsec VPN v routeru Vyatta
Pomocí následujících kroků nakonfigurujte IPsec VPN v routerovém zařízení Vyatta:
-
Přihlaste se k serveru Vyatta pomocí Secure Shell (SSH), jak je znázorněno v následujícím příkladu:
$ssh vyatta@cloud-server-09 vyatta@cloud-server-09:~$ show interfaces ethernet //Get interface IP details $configure //Move to configuration mode vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0 [edit] vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces +interface eth0 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256 vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1 vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600 vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600 [edit] -
Nakonfigurujte klíč připojení IPsec a nastavení DDNS, jak je znázorněno v následujícím příkladu:
vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret // Replace forti.fortiddns.com with your DDNS name [edit] vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111 // Use the same in key at Fortigate end [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set default-esp-group ESP-RS [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set ike-group IKE-RS [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set local-address 134.213.XX.XX // Public IP of the Vyatta router appliance [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19 // Vyatta Private subnet IP [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24 // LAN subnet behind Fortigate vyatta@cloud-server-09# top vyatta@cloud-server-09# commit vyatta@cloud-server-09# show vpn ipsec site-to-site peer // To view the IPsec configurations
Krok 2:Nakonfigurujte IPsec VPN ve firewallu FortiGate
Pro konfiguraci IPsec VPN ve firewallu FortiGate použijte následující kroky:
-
Přihlaste se k firewallu FortiGate jako administrátor.
-
Vyberte VPN> IPsec> Tunel> Vytvořit nový> Vlastní tunel VPN .
-
V části Název zadejte RSVPN .
-
Vyberte Statická IP adresa a do pole IP adresa zadejte veřejnou IP adresu zařízení Vyattarouter sloupec.
-
V části Ověření vyberte Předsdílený klíč a zadejte klíč jako test_test_111 . Předsdílený klíč by měl být stejný ve Vyatta a FortiGate.
-
Ujistěte se, že verze Internet Key Exchange (verze IKE ) je 1 a Režim je nastaveno na Hlavní .
-
Musíte použít následující šifrování a nastavení:
- Advanced Encryption Standard 128 (AES128), s ověřováním nastaveným na Secure Hash Algorithm 1 (SHA1)
- AES256, s ověřováním nastaveným na SHA1
- Triple DES (3DES), s ověřováním nastaveným na 5. algoritmus zpracování zpráv (MD5)
Musíte také použít následující nastavení:
- Skupiny Diffie-Hellman (DH) :14, 5 a 2
- Životnost klíče :3600 sekund
-
Místní adresa je adresa sítě LAN. Vzdálená adresa je soukromá IP podsítě zařízení Vyatta. Použijte následující šifrování a nastavení:
- AES128, s ověřováním nastaveným na SHA1
- AES256, s ověřováním nastaveným na SHA1
- 3DES, s ověřením nastaveným na MD5
Musíte také použít následující nastavení:
- Skupiny DH :14, 5 a 2
- Doba klíče :3600 sekund
-
Vyberte možnost Síť a přidejte statickou trasu 10.181.192.0/19 (podsíť zařízení Vyatta).
-
Přidejte zásadu brány firewall, která umožňuje provoz mezi dvěma soukromými podsítěmi.
-
Nakonec vyberte VPN> Monitor> IPsec Monitor a ověřte, že Stav zobrazí se jako NAHORU .