آموزش IPsec site-to-site در FortiGate

آموزش IPsec VPN در FortiGate

فناوری Virtual Private Network (VPN) این امکان را به کاربران راه دور می‌دهد تا به شبکه‌های خصوصی کامپیوتری متصل شوند و به منابع آن‌ها به‌صورت امن دسترسی پیدا کنند. به‌عنوان مثال، یک کارمند که در حال سفر یا کار در خانه است، می‌تواند با استفاده از VPN به‌صورت امن به شبکه اداری از طریق اینترنت دسترسی پیدا کند.

به‌جای ورود به یک شبکه خصوصی از طریق اتصال اینترنتی بدون رمزگذاری و ناامن، استفاده از VPN تضمین می‌کند که افراد غیرمجاز نمی‌توانند به شبکه اداری دسترسی پیدا کنند و نمی‌توانند اطلاعات تبادل شده بین کارمند و دفتر را رهگیری کنند. یکی دیگر از استفاده‌های رایج از VPN، اتصال شبکه‌های خصوصی چندین دفتر با یکدیگر است.

IPsec VPN از پروتکل Internet Protocol Security (IPsec) برای ایجاد تونل‌های رمزگذاری‌شده در اینترنت استفاده می‌کند. پروتکل IPsec در لایه شبکه مدل OSI عمل می‌کند و بر روی پروتکل IP اجرا می‌شود که وظیفه مسیریابی بسته‌ها را بر عهده دارد. تمامی داده‌های منتقل‌شده از طریق تونل IPsec محافظت می‌شوند.

Site-to-Site VPN

یک site-to-site VPN به دفاتر شعبه اجازه می‌دهد که از طریق اینترنت به intranet دفتر اصلی دسترسی پیدا کنند. Site-to-site VPN به دفاتری که در مکان‌های ثابت هستند این امکان را می‌دهد که از طریق یک شبکه عمومی مانند اینترنت، ارتباطات امن با یکدیگر برقرار کنند.

بخش‌های زیر راهنمای تنظیمات site-to-site VPNs را ارائه می‌دهند:

1. FortiGate-to-FortiGate
2. FortiGate-to-Third-Party

FortiGate-to-FortiGate

این بخش شامل موضوعات زیر درباره تنظیمات VPN بین دو FortiGate است:

1. Basic Site-to-Site VPN with Pre-Shared Key
2. Site-to-Site VPN with Digital Certificate
3. Site-to-Site VPN with Overlapping Subnets
4. GRE over IPsec
5. Policy-Based IPsec Tunnel

Basic Site-to-Site VPN with Pre-Shared Key

این مثال نشان می‌دهد که چگونه می‌توان یک تونل IPsec ساده بین دو FortiGate تنظیم کرد. این تونل IKEv2 برای احراز هویت از یک Pre-Shared Key استفاده می‌کند. تنها ترافیک از Local Subnets از طریق تونل مجاز است.

تنظیمات ممکن است بسته به نیاز متفاوت باشد. با این حال، برای اینکه تونل برقرار شود، تنظیمات در هر دو FortiGate باید مشابه باشد.

پیکربندی IPsec VPN با استفاده از VPN Wizard در GUI

تنظیم FortiGate دفتر مرکزی (HQ1)

1. به مسیر VPN > IPsec Wizard بروید و تنظیمات زیر را برای VPN Setup پیکربندی کنید

• یک نام برای VPN وارد کنید.
• برای Template Type، گزینه Site to Site را انتخاب کنید.
• برای NAT Configuration، گزینه No NAT Between Sites را انتخاب کنید.
• برای Remote Device Type، گزینه FortiGate را انتخاب کنید.
• روی Next کلیک کنید.

2. تنظیمات زیر را برای Authentication پیکربندی کنید.

• برای Remote Device، گزینه IP Address را انتخاب کنید.
• آدرس IP را به مقدار 172.16.202.1 تنظیم کنید.
• برای Outgoing Interface، مقدار port1 را وارد کنید.
• برای Authentication Method، گزینه Pre-shared Key را انتخاب کنید.
• در فیلد Pre-shared Key مقدار sample را وارد کنید.
• روی Next کلیک کنید.

3. تنظیمات زیر را برای Policy & Routing پیکربندی کنید.

• از منوی کشویی Local Interface، رابط محلی را انتخاب کنید.
• Local Subnets را به مقدار 10.1.100.0 تنظیم کنید.
• Remote Subnets را به مقدار 172.16.101.0 تنظیم کنید.
• روی Create کلیک کنید.

پیکربندی FortiGate در HQ2

1. به مسیر VPN > IPsec Wizard بروید و تنظیمات زیر را برای VPN Setup پیکربندی کنید.

• یک نام برای VPN وارد کنید.
• برای Template Type، گزینه Site to Site را انتخاب کنید.
• برای Remote Device Type، گزینه FortiGate را انتخاب کنید.
• برای NAT Configuration، گزینه No NAT Between Sites را انتخاب کنید.
• روی Next کلیک کنید.

2. تنظیمات زیر را برای Authentication پیکربندی کنید

• برای Remote Device، گزینه IP Address را انتخاب کنید.
• آدرس IP را به مقدار 172.16.200.1 تنظیم کنید.
• برای Outgoing Interface، مقدار port25 را وارد کنید.
• برای Authentication Method، گزینه Pre-shared Key را انتخاب کنید.
• در فیلد Pre-shared Key مقدار sample را وارد کنید.
• روی Next کلیک کنید.

3. تنظیمات زیر را برای Policy & Routing پیکربندی کنید.

• از منوی کشویی Local Interface، رابط محلی را انتخاب کنید.
• Local Subnets را به مقدار 172.16.101.0 تنظیم کنید.
• Remote Subnets را به مقدار 10.1.100.0 تنظیم کنید.
• روی Create کلیک کنید.

اجرای دستورات تشخیص (Diagnose Commands)

دستور diagnose debug application ike -1 کلیدی است برای رفع مشکل در صورت عدم برقراری تونل IPsec.

در صورتی که PSK به درستی تطابق نداشته باشد، پیام خطای زیر در خروجی اشکال‌زدایی نمایش داده می‌شود:

ike 0:to_HQ2:15037: parse error
ike 0:to_HQ2:15037: probable pre-shared secret mismatch'

دستورات زیر برای بررسی وضعیت IPsec phase1/phase2 interface مفید هستند.

اجرای دستور diagnose vpn ike gateway list در HQ1

سیستم باید خروجی زیر را بازگرداند:

vd: root/0
name: to_HQ2
version: 1
interface: port1 11
addr: 172.16.200.1:500 -> 172.16.202.1:500
created: 5s ago
IKE SA: created 1/1 established 1/1 time 0/0/0 ms
IPsec SA: created 2/2 established 2/2 time 0/0/0 ms
id/spi: 12 6e8d0532e7fe8d84/3694ac323138a024
direction: responder
status: established 5-5s ago = 0ms
proposal: aes128-sha256
key: b3efb46d0d385aff-7bb9ee241362ee8d
lifetime/rekey: 86400/86124
DPD sent/recv: 00000000/00000000

اجرای دستور diagnose vpn tunnel list در HQ1

سیستم باید خروجی زیر را بازگرداند:

list all ipsec tunnel in vd 0
name=to_HQ2 ver=1 serial=1 172.16.200.1:0->172.16.202.1:0 tun_id=172.16.202.1
bound_if=11 lgwy=static/1 tun=intf/0 mode=auto/1 encap=none/528 options[0210]=create_dev frag-rfcaccept_traffic=1
proxyid_num=1 child_num=0 refcnt=11 ilast=7 olast=87 ad=/0
stat: rxp=0 txp=0 rxb=0 txb=0
dpd: mode=on-demand on=1 idle=20000ms retry=3 count=0 seqno=0
natt: mode=none draft=0 interval=0 remote_port=0
proxyid=to_HQ2 proto=0 sa=1 ref=2 serial=1 auto-negotiate
src: 0:0.0.0.0/0.0.0.0:0
dst: 0:0.0.0.0/0.0.0.0:0
SA: ref=3 options=18227 type=00 soft=0 mtu=1438 expire=42927/0B replaywin=2048
seqno=1 esn=0 replaywin_lastseq=00000000 itn=0
life: type=01 bytes=0/0 timeout=42930/43200
dec: spi=ef9ca700 esp=aes key=16 a2c6584bf654d4f956497b3436f1cfc7
ah=sha1 key=20 82c5e734bce81e6f18418328e2a11aeb7baa021b
enc: spi=791e898e esp=aes key=16 0dbb4588ba2665c6962491e85a4a8d5a
ah=sha1 key=20 2054b318d2568a8b12119120f20ecac97ab730b3
dec:pkts/bytes=0/0, enc:pkts/bytes=0/0