Forum

Fortigate VPN'in Ch...
 
Bildirimler
Hepsini Temizle

Fortigate VPN'in Checkpoint NGX Cihazıyla Birlikte Çalışması İçin Gerekli Adımlar

2 Yazılar
2 Üyeler
0 Reactions
1,230 Görüntüleme
(@zcinar)
Gönderiler: 7
Active Member
Konu başlatıcı
 

Açıklama

Bu makale bir FortiGate birimindeki IPSec VPN'in bir Checkpoint NGX
firewall VPN'le birlikte çalışmasını açıklamaktadır. Konfigürasyon, FortiOS
v3.0'daki yeni bir özellik olan arabirim tabanlı VPN kullanmaktadır.

FortiGate biriminin ardındaki kullanıcılar Checkpoint-korumalı ağdaki
herhangi bir hostla iletişim kurabilirler. Users on the Checkpoint ağındaki
kullanıcılar FortiGate biriminin ardındaki özel ağdaki bir sunucuya erişim
sağlayabilirler.

Bileşenler

  • FortiOS v3.0 firmware'lı FortiGate birimi
  • Checkpoint NGX firewall cihazı

Önkoşullar

  • FortiGate birimi NAT modunda
    olmalıdır.

VPN Phase 1'i konfigüre etmek

Önce IPSec VPN phase 1'i konfigüre edin. Sanal IPSec arabirimi internete
bağlanan fiziksel adreste oluşturulur.

Web tabanlı yönetici kullanarak konfigüre etmek için:

  1. VPN > IPSec > Auto-Key'e gidin ve Phase'i seçin. Aşağıdakileri
    girin:

Name

VPN name: toSite2

Remote Gateway

Static IP Address

IP Address

Checkpoint cihazının genel IP adresi

Local Interface

Uzak VPN'e bağlanan arabirim: port2

Authentication Method

Preshared Key

Pre-shared Key

Checkpoint cihazında konfigüre edilen preshared key

  1. Advanced'i seçin ve aşağıdakileri girin:

Enable IPSec Interface Mode

Enable

P1 Proposal

1 - Encryption DES, Authentication MD5

DH Group

2

Keylife

86400

Nat-traversal

Enable

Dead Peer Detection

Enable

 

  1. OK'i seçin.

CLI'yi kullanarak konfigüre etmek için:

config vpn ipsec phase1-interface

  edit
"toSite2"

    set interface
"port2"

    set dpd
enable

    set
nattraversal enable

    set dhgrp 2

    set proposal
des-md5

    set keylife
86400

    set
remote-gw nnn.nnn.nnn.nnn

    set
psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

 
end

VPN
Phase 2'yi konfigüre etme

Daha sonra IPSec VPN phase 2'i konfigüre edin. Checkpoint VPN, VPN sadece
bir adresten bağlantıları kabul eder: 192.168.197.168. O adrese kaynak
seçicisini kurun. Hedef Checkpoint cihazı ardındaki özel ağdır.

Web-tabanlı yönetici kullanarak konfigüre etmek için:

  1. VPN > IPSec > Auto-Key'e gidin ve Phase 2'yi seçin.
  2. Aşağıdakileri girin:

Name

VPN Phase 2 konfigürasyonu için bir isim: toSite2_p2

Phase 1  

Phase 1 konfigürasyon adı: toSite2

  1. Advanced'i seçin ve aşağıdakileri girin:

P2 Proposal

1 - Encryption 3DES, Authentication MD5

Enable Replay Detection

Enable

DH Group

1

Autokey Keep Alive

Enable

Source Address

192.168.197.168

Destination Address

10.185.111.0 255.255.255.0

  1. OK'i seçin.

 

CLI kullanarak konfigüre etmek için:

config vpn ipsec phase2-interface

  edit
"toSite2_p2"

    set dhgrp 1

    set
keepalive enable

    set
phase1name "toSite2"

    set proposal
3des-md5

    set replay
enable

    set
src-addr-type ip

    set
dst-subnet 10.185.111.0 255.255.255.0

    set
src-start-ip 192.168.197.168

 
end

Firewall
Adreslerini konfigüre etmek

VPN'in her iki ucundaki özel ağlar için firewall adresleri oluşturun. "LocalLAN"
FortiGate birimi "Site2_net" Checkpoint cihazı ardındaki ağdır.

Web tabanlı yönetici kullanarak konfigüre etmek için:

  1. Firewall > Address'e gidin ve Create New'u seçin.
  2. Aşağıdakileri girin:

Address Name

Adres için bir isim.
FortiGate birimi ardındaki ağ için "LocalLAN" yazın.
Checkpoint cihazının ardındaki ağ için "Site2_net" yazın.

Type

Subnet/IP Range

Subnet/IP Range  

Network adresi ve subnet mask
LocalLAN için "192.168.100.0 255.255.255.0"

Site2_net için "10.185.111.0 255.255.255.0"

 

  1. OK.'i seçin.

CLI kullanarak konfigüre etmek için:

config firewall address

  edit
"LocalLAN"

    set subnet
192.168.100.0 255.255.255.0

  next

  edit
"Site2_net"

    set subnet
10.185.111.0 255.255.255.0

 
end

Bir
Firewall Virtual IP Pool konfigüre etmek

Checkpoint cihazı VPN peer'ların sadece 192.168.197.168 IP adresinden
bağlanmasına izin verir.  Using the
FortiGate birimi IP Pool özelliğini kullanarak kullanıcının kaynak IP adresini
Checkpoint cihazı için kabul edilebilir olan  192.168.197.168 adresiyle değiştirebilirsiniz.

Web tabanlı yönetici kullarak konfigüre etmek için:

  1. Firewall > Virtual IP > IP Pool'a gidin ve Create New'u seçin.
  2. Aşağıdakileri girin:

Name

IP Pool için bir isim: Site2-Out

Interface

Uzak VPN peer'a bağlanan IPSec arabirimi: toSite2

IP Range/Subnet

IP Pool'un IP adresi alanı: 192.168.197.168

  1. OK'i seçin.

CLI'yi kullanarak konfigüre etmek için:

config firewall ippool

  edit
"Site2-Out"

    set endip
192.168.197.168

    set
interface "toSite2"

    set startip
192.168.197.168

 
end

Bir
Firewall Virtual IP adresi konfigüre etmek

Checkpoint cihazı ağındaki host'ların VPN aracılığıyla sadece 192.168.197.168
IP adresine bağlanmalarına izin verir. Using the FortiGate Virtual IP (VIP) özelliğini
kullanarak bu adresi FortiGate birimi ardındaki ağdaki bir sunucunun adresine
dönüştürebilirsiniz.

Web tabanlı yönetici kullanarak konfigüre etmek için:

  1. Firewall > Virtual IP'a gidin ve Create New'u seçin..
  2. Aşağıdakileri girin:

Name

Sanal IP adresi için bir isim: Static_for_Site2peer

External Interface

FortiGate biriminin genel arabirimi: port2

Type

Static NAT

External IP Address/Range

Değiştirilecek harici adres: 192.168.197.168

Mapped IP Address/Range

Yerel ağda kullanılacak Sanal IP adresi: 192.168.100.173

 

  1. OK'i seçin.

CLI kullanarak konfigüre etmek:

config firewall vip

  edit
"Static_for_Site2peer"

    set extip
192.168.197.168

    set extintf
"toSite2"

    set mappedip
192.168.100.173

 
end

Outgoing
Firewall Policy konfigüre etmek

Outgoing policy FortiGate birimi ardındaki ağdaki host'ların Checkpoint
cihazının ardındaki host'larla iletişim kurmasını sağlar. Kural, Checkpoint
cihazı tarafından kabul edilebilir şekilde kaynak adresin yerine geçmesi için oluşturduğunuz
IP Pool'u kullanır.

Web tabanlı yönetici kullanarak konfigüre etmek:

  1. Firewall > Policy'e gidin ve Create New'u seçin.
  2. Aşağıdakileri girin OK'i seçin:

Source Interface/Zone

Yerel ağa bağlı arabirim: port1

Source Address

Yerel ağ için firewall adresi: LocalLAN

Destination Interface/Zone

Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2.

Destination Address 

Uzak ağ için firewall adresi: Site2_net

Schedule

Always

Service

ANY

Action

ACCEPT

NAT

Enable

Dynamic IP Pool

Enable ve IP Pool'u seçin: Site2-Out

Log Allowed Traffic

Enable

CLI kullanarak konfigüre etmek için:

config firewall policy

  edit 3

    set srcintf
"port1"

    set dstintf
"toSite2"

    set srcaddr
"LocalLAN"

    set dstaddr
"Site2_net"

    set action
accept

    set schedule
"always"

    set service
"ANY"

    set
logtraffic enable

    set nat
enable

    set ippool
enable

    set poolname
"Site2-Out"

 
end

Incoming Firewall Policy'i konfigüre
etmek

Incoming policy Checkpoint cihazının ardındaki ağdan FortiGate birimi
ardındaki ağa bağlantılara izin verir. Ancak Checkpoint cihazı host'larının
sadece tek bir adrese bağlanmasına izin verir: 192.168.197.168. Daha önceden
belirlediğiniz VIP bu adresi FortiGate biriminin ardındaki ağdaki sunucunun
adresine çevirir.  

Web tabanlı yönetici kullanarak konfigüre etmek için:

  1. Firewall > Policy'e gidin ve Create New'u seçin.
  2. Aşağıdakiler girin ve OK'i seçin:

Source Interface/Zone

Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2

Source Address

Uzak ağın firewall adresi: Site2_net

Destination Interface/Zone

Yerel ağa bağlı arabirim: port1

Destination Address

The VIP that maps the fixed Checkpoint appliance destination address to
one that is on our local subnet: Static_for_Site2peer

Schedule

Always

Service

ANY

Action

ACCEPT

Log Allowed Traffic

Enable

CLI kullanarak konfigüre etmek:

config firewall policy

  edit 4

    set srcintf "toSite2"

    set dstintf
"port1"

    set srcaddr
"Site2_net"

    set dstaddr
"Static_for_Site2peer"

    set action
accept

    set schedule
"always"

    set service
"ANY"

    set
logtraffic enable

 
end

Routing
Konfigüre etme

Bu sanal IPSec arabirimi toSite2'nin Checkpoint cihazının ardındaki ağa
bağlanan arabirim olduğunu belirlemelisiniz. 

Web tabanlı yönetici ile konfigüre etmek için:

  1. Router > Static' gidin ve Create New'u seçin.
  2. Aşağıdakileri girin ve OK'i seçin.

 

Destination IP/Mask

Uzak ağın IP adresi/mask'ı: 10.185.111.0/255.255.255.0

Device

Uzak ağa bağlanan arabirim, IPSec arabirimi: toSite2

CLI kullanarak konfigüre etmek için:

config router static

  edit 2

    set device
"toSite2"

    set dst
10.185.111.0 255.255.255.0

 
end

 
Gönderildi : 24/07/2009 15:54

(@cozumpark)
Gönderiler: 16307
Illustrious Member Yönetici
 

merhabalar


bu tür güzel yazıları düzgün bir şekilde yazarak (çözümpark makale kurallarına uygun olarak) @cozumpark.com">makale@cozumpark.com adresine atarsanız makaleler bölümünde yayınlanır.


paylaşım için teşekkürler 


kolay gelsin

 
Gönderildi : 25/07/2009 18:02

Paylaş: