Forum
Açıklama
Bu makale bir FortiGate birimindeki IPSec VPN'in bir Checkpoint NGX
firewall VPN'le birlikte çalışmasını açıklamaktadır. Konfigürasyon, FortiOS
v3.0'daki yeni bir özellik olan arabirim tabanlı VPN kullanmaktadır.
FortiGate biriminin ardındaki kullanıcılar Checkpoint-korumalı ağdaki
herhangi bir hostla iletişim kurabilirler. Users on the Checkpoint ağındaki
kullanıcılar FortiGate biriminin ardındaki özel ağdaki bir sunucuya erişim
sağlayabilirler.
Bileşenler
- FortiOS v3.0 firmware'lı FortiGate birimi
- Checkpoint NGX firewall cihazı
Önkoşullar
- FortiGate birimi NAT modunda
olmalıdır.
VPN Phase 1'i konfigüre etmek
Önce IPSec VPN phase 1'i konfigüre edin. Sanal IPSec arabirimi internete
bağlanan fiziksel adreste oluşturulur.
Web tabanlı yönetici kullanarak konfigüre etmek için:
- VPN > IPSec > Auto-Key'e gidin ve Phase'i seçin. Aşağıdakileri
girin:
Name |
VPN name: toSite2 |
Remote Gateway |
Static IP Address |
IP Address |
Checkpoint cihazının genel IP adresi |
Local Interface |
Uzak VPN'e bağlanan arabirim: port2 |
Authentication Method |
Preshared Key |
Pre-shared Key |
Checkpoint cihazında konfigüre edilen preshared key |
- Advanced'i seçin ve aşağıdakileri girin:
Enable IPSec Interface Mode |
Enable |
P1 Proposal |
1 - Encryption DES, Authentication MD5 |
DH Group |
2 |
Keylife |
86400 |
Nat-traversal |
Enable |
Dead Peer Detection |
Enable |
- OK'i seçin.
CLI'yi kullanarak konfigüre etmek için:
config vpn ipsec phase1-interface
edit
"toSite2"
set interface
"port2"
set dpd
enable
set
nattraversal enable
set dhgrp 2
set proposal
des-md5
set keylife
86400
set
remote-gw nnn.nnn.nnn.nnn
set
psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end
VPN
Phase 2'yi konfigüre etme
Daha sonra IPSec VPN phase 2'i konfigüre edin. Checkpoint VPN, VPN sadece
bir adresten bağlantıları kabul eder: 192.168.197.168. O adrese kaynak
seçicisini kurun. Hedef Checkpoint cihazı ardındaki özel ağdır.
Web-tabanlı yönetici kullanarak konfigüre etmek için:
- VPN > IPSec > Auto-Key'e gidin ve Phase 2'yi seçin.
- Aşağıdakileri girin:
Name |
VPN Phase 2 konfigürasyonu için bir isim: toSite2_p2 |
Phase 1 |
Phase 1 konfigürasyon adı: toSite2 |
- Advanced'i seçin ve aşağıdakileri girin:
P2 Proposal |
1 - Encryption 3DES, Authentication MD5 |
Enable Replay Detection |
Enable |
DH Group |
1 |
Autokey Keep Alive |
Enable |
Source Address |
192.168.197.168 |
Destination Address |
10.185.111.0 255.255.255.0 |
- OK'i seçin.
CLI kullanarak konfigüre etmek için:
config vpn ipsec phase2-interface
edit
"toSite2_p2"
set dhgrp 1
set
keepalive enable
set
phase1name "toSite2"
set proposal
3des-md5
set replay
enable
set
src-addr-type ip
set
dst-subnet 10.185.111.0 255.255.255.0
set
src-start-ip 192.168.197.168
end
Firewall
Adreslerini konfigüre etmek
VPN'in her iki ucundaki özel ağlar için firewall adresleri oluşturun. "LocalLAN"
FortiGate birimi "Site2_net" Checkpoint cihazı ardındaki ağdır.
Web tabanlı yönetici kullanarak konfigüre etmek için:
- Firewall > Address'e gidin ve Create New'u seçin.
- Aşağıdakileri girin:
Address Name |
Adres için bir isim. |
Type |
Subnet/IP Range |
Subnet/IP Range |
Network adresi ve subnet mask Site2_net için "10.185.111.0 255.255.255.0" |
- OK.'i seçin.
CLI kullanarak konfigüre etmek için:
config firewall address
edit
"LocalLAN"
set subnet
192.168.100.0 255.255.255.0
next
edit
"Site2_net"
set subnet
10.185.111.0 255.255.255.0
end
Bir
Firewall Virtual IP Pool konfigüre etmek
Checkpoint cihazı VPN peer'ların sadece 192.168.197.168 IP adresinden
bağlanmasına izin verir. Using the
FortiGate birimi IP Pool özelliğini kullanarak kullanıcının kaynak IP adresini
Checkpoint cihazı için kabul edilebilir olan 192.168.197.168 adresiyle değiştirebilirsiniz.
Web tabanlı yönetici kullarak konfigüre etmek için:
- Firewall > Virtual IP > IP Pool'a gidin ve Create New'u seçin.
- Aşağıdakileri girin:
Name |
IP Pool için bir isim: Site2-Out |
Interface |
Uzak VPN peer'a bağlanan IPSec arabirimi: toSite2 |
IP Range/Subnet |
IP Pool'un IP adresi alanı: 192.168.197.168 |
- OK'i seçin.
CLI'yi kullanarak konfigüre etmek için:
config firewall ippool
edit
"Site2-Out"
set endip
192.168.197.168
set
interface "toSite2"
set startip
192.168.197.168
end
Bir
Firewall Virtual IP adresi konfigüre etmek
Checkpoint cihazı ağındaki host'ların VPN aracılığıyla sadece 192.168.197.168
IP adresine bağlanmalarına izin verir. Using the FortiGate Virtual IP (VIP) özelliğini
kullanarak bu adresi FortiGate birimi ardındaki ağdaki bir sunucunun adresine
dönüştürebilirsiniz.
Web tabanlı yönetici kullanarak konfigüre etmek için:
- Firewall > Virtual IP'a gidin ve Create New'u seçin..
- Aşağıdakileri girin:
Name |
Sanal IP adresi için bir isim: Static_for_Site2peer |
External Interface |
FortiGate biriminin genel arabirimi: port2 |
Type |
Static NAT |
External IP Address/Range |
Değiştirilecek harici adres: 192.168.197.168 |
Mapped IP Address/Range |
Yerel ağda kullanılacak Sanal IP adresi: 192.168.100.173 |
- OK'i seçin.
CLI kullanarak konfigüre etmek:
config firewall vip
edit
"Static_for_Site2peer"
set extip
192.168.197.168
set extintf
"toSite2"
set mappedip
192.168.100.173
end
Outgoing
Firewall Policy konfigüre etmek
Outgoing policy FortiGate birimi ardındaki ağdaki host'ların Checkpoint
cihazının ardındaki host'larla iletişim kurmasını sağlar. Kural, Checkpoint
cihazı tarafından kabul edilebilir şekilde kaynak adresin yerine geçmesi için oluşturduğunuz
IP Pool'u kullanır.
Web tabanlı yönetici kullanarak konfigüre etmek:
- Firewall > Policy'e gidin ve Create New'u seçin.
- Aşağıdakileri girin OK'i seçin:
Source Interface/Zone |
Yerel ağa bağlı arabirim: port1 |
Source Address |
Yerel ağ için firewall adresi: LocalLAN |
Destination Interface/Zone |
Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2. |
Destination Address |
Uzak ağ için firewall adresi: Site2_net |
Schedule |
Always |
Service |
ANY |
Action |
ACCEPT |
NAT |
Enable |
Dynamic IP Pool |
Enable ve IP Pool'u seçin: Site2-Out |
Log Allowed Traffic |
Enable |
CLI kullanarak konfigüre etmek için:
config firewall policy
edit 3
set srcintf
"port1"
set dstintf
"toSite2"
set srcaddr
"LocalLAN"
set dstaddr
"Site2_net"
set action
accept
set schedule
"always"
set service
"ANY"
set
logtraffic enable
set nat
enable
set ippool
enable
set poolname
"Site2-Out"
end
Incoming Firewall Policy'i konfigüre
etmek
Incoming policy Checkpoint cihazının ardındaki ağdan FortiGate birimi
ardındaki ağa bağlantılara izin verir. Ancak Checkpoint cihazı host'larının
sadece tek bir adrese bağlanmasına izin verir: 192.168.197.168. Daha önceden
belirlediğiniz VIP bu adresi FortiGate biriminin ardındaki ağdaki sunucunun
adresine çevirir.
Web tabanlı yönetici kullanarak konfigüre etmek için:
- Firewall > Policy'e gidin ve Create New'u seçin.
- Aşağıdakiler girin ve OK'i seçin:
Source Interface/Zone |
Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2 |
Source Address |
Uzak ağın firewall adresi: Site2_net |
Destination Interface/Zone |
Yerel ağa bağlı arabirim: port1 |
Destination Address |
The VIP that maps the fixed Checkpoint appliance destination address to |
Schedule |
Always |
Service |
ANY |
Action |
ACCEPT |
Log Allowed Traffic |
Enable |
CLI kullanarak konfigüre etmek:
config firewall policy
edit 4
set srcintf "toSite2"
set dstintf
"port1"
set srcaddr
"Site2_net"
set dstaddr
"Static_for_Site2peer"
set action
accept
set schedule
"always"
set service
"ANY"
set
logtraffic enable
end
Routing
Konfigüre etme
Bu sanal IPSec arabirimi toSite2'nin Checkpoint cihazının ardındaki ağa
bağlanan arabirim olduğunu belirlemelisiniz.
Web tabanlı yönetici ile konfigüre etmek için:
- Router > Static' gidin ve Create New'u seçin.
- Aşağıdakileri girin ve OK'i seçin.
Destination IP/Mask |
Uzak ağın IP adresi/mask'ı: 10.185.111.0/255.255.255.0 |
Device |
Uzak ağa bağlanan arabirim, IPSec arabirimi: toSite2 |
CLI kullanarak konfigüre etmek için:
config router static
edit 2
set device
"toSite2"
set dst
10.185.111.0 255.255.255.0
end
merhabalar
bu tür güzel yazıları düzgün bir şekilde yazarak (çözümpark makale kurallarına uygun olarak) @cozumpark.com">makale@cozumpark.com adresine atarsanız makaleler bölümünde yayınlanır.
paylaşım için teşekkürler
kolay gelsin