Fortinet Tech
IPsec-VPN:
FortiGate zu FortiGate – Konfigurations-Wizard
In diesem Beitrag soll eine VPN-Verbindung zwischen zwei FortiGates, mit Hilfe des Konfigurations-Wizards, aufgebaut werden. Dieses Profil unterscheidet sich vom benutzerdefinierten Profil durch eine geführte Einrichtung mit begrenzten Anpassungsmöglichkeiten sowie durch die automatische Erstellung von Subnetzgruppen, statischen Routen und Firewall-Richtlinien, was eine schnelle und einfache Einrichtung von VPN-Verbindungen ermöglicht.
Mehr Erfahren
VPN – Topologie
Erstellen des VPN-Tunnels
Zunächst wird der VPN-Tunnel benannt und das NAT konfiguriert.
VPN > IPsec Wizard
Im nächsten Schritt wird die Ziel-Adresse eingegeben, sowie das Interface worüber diese erreicht werden kann. Des Weiteren wird der Pre-shared Key eingegeben.
Jetzt wird das lokale Subnetz und dessen Port angegeben, sowie das Subnetz des VPN-Partners.
Mit dem „Create“ Button lässt sich die Einrichtung abschließen.
Statische Routen, Remote-Adressgruppen sowie Firewall-Regeln werden automatisch erstellt.
Network > Static Routes
Policy & Objects > Addresses
Policy & Objects > Firewall Policy
Überprüfung des VPN-Tunnels
Um den Zustand des VPN-Tunnels zu überprüfen, müssen ein neues Dashboard-Widget namens IPsec hinzugefügt werden.
Dashboard > Status > Add Widget
Jetzt lässt sich der Status von Phase 1 und Phase 2 überprüfen.
Anschließend kann die Verbindung mit einem einfachen Ping getestet werden. Phase 2 sollte automatisch hochfahren, vorausgesetzt, Phase 1 ist ordnungsgemäß hochgefahren.
FortiGate zu FortiGate – Custom Profil
Dies wird eine kurze Einführung in die Einrichtung einer VPN-Verbindung zwischen zwei FortiGates unter Verwendung des benutzerdefinierten Profils sein. Dieses Profil bietet umfangreiche Anpassungsoptionen für Phase-1- und Phase-2-Verschlüsselung, NAT-Traversal und andere. Insbesondere müssen Subnetzgruppen, statische Routen und Firewall-Richtlinien manuell erstellt werden.
Mehr Erfahren
VPN – Topologie
VPN – Datenblatt
| FortiGate SiteB | FortiGate SiteC | |
| Remote IP address | 10.10.10.81 | 10.10.10.82 |
| Outgoing Port | Port10 | Port10 |
| Local Subnet-Port | 192.168.82.0/24-Port1 | 192.168.81.0/24-Port1 |
| Remote Subnet | 192.168.81.0/24 | 192.168.82.0/24 |
| Phase 1 | ||
| Pre-shared Key | Test123 | Test123 |
| IKE-Version | 2 | 2 |
| Encryption/Authentication | DES/SHA512 | DES/SHA512 |
| Diffie-Hellman Group | 14 | 14 |
| Key-Lifetime (Sekunden) | 86400 | 86400 |
| Phase 2 | ||
| Encryption/Authentication | DES/SHA512 | DES/SHA512 |
| Diffie-Hellman Group | 14 | 14 |
| Key-Lifetime (Sekunden) | 43200 | 43200 |
Erstellen des VPN-Tunnels
Zunächst wird der VPN-Tunnel benannt.
VPN > IPsec Wizard
Danach wird die IP-Adresse des Remote-Gateways und die ausgehende Schnittstelle eingegeben.
Jetzt wird der Pre-Shared Key, dem Sie zugestimmt haben, sowie die IKE-Version angegeben.
Als nächstes wird für Phase 1 die Verschlüsselung und Authentifizierung, sowie die Diffie-Hellman-Gruppe und die Gültigkeit des Schlüssels ausgewählt.
Für Phase 2 wird der Adressbereich des lokalen und externen Netzwerkes angegeben.
In den Advanced Options, wird wieder die Verschlüsselung und Authentifizierungsmethode, sowie die Diffie-Hellman Group und die Schlüsselgültigkeit angegeben.
Im nächsten Schritt werden die Adressobjekte angelegt:
Policy & Objects > Addresses > Create New > Address
Für das lokale Subnetz:
Und für das externe Subnetz:
Es können auch Adressgruppen angelegt werden. Diese werden an Stelle, von direkten Subnetzen, in der Firewall-Policy benutzt.
Jetzt werden die statischen Routen angelegt, für das externe Subnetz, welche auf das VPN-Interface verweisen.
Network > Static Routes > Create New
Es wird noch eine statische Route angelegt, die dieses Mal auf das Blackhole-Interface verweisen.
Im letzten Schritt werden Firewall-Regeln angelegt, die VPN-Traffic erlauben.
Policy & Objects > Firewall Policy > Create New
Als Erstes für den Traffic aus dem lokalen Subnetz zum VPN-Tunnel. NAT wird nicht benötigt.
Als nächstes für den Traffic vom VPN-Tunnel zum lokalen Subnetz. NAT wird weiterhin nicht benötigt.
Überprüfung des VPN-Tunnels
Um den Zustand des VPN-Tunnels zu überprüfen, müssen ein neues Dashboard-Widget namens IPsec hinzugefügt werden.
Dashboard > Status > Add Widget
Jetzt lässt sich der Status von Phase 1 und Phase 2 überprüfen.
Anschließend kann die Verbindung mit einem einfachen Ping getestet werden. Phase 2 sollte automatisch hochfahren, vorausgesetzt, Phase 1 ist ordnungsgemäß hochgefahren.
Nach oben