الاتصال بين السحابة Cato و FortiGate عبر أنفاق IPSec عالية التوفر

تتناول هذه المقالة كيفية ربط موقع بنظام IPsec مع أجهزة FortiGate في تكوين عالي التوفر إلى السحابة Cato.

نظرة عامة على VPN "Cato إلى FortiGate" باستخدام مواقع IPSec.

تفترض هذه المقالة أنك تعمل في بيئة بها جهاز FortiGate متصل بالإنترنت من خلال رابطين للحزمة العريضة سنقوم ببناء اتصالات IPsec إلى نقطتين للسحابة Cato.

يمكن الحصول على عنوان IP لنقطة الوصول السحابية Cato عن طريق تخصيص عنوان IP جديد (أو استخدام قديم) من تطبيق إدارة Cato ضمن الشبكة > تخصيص IP. نوصي باختيار عنوان IP الأساسي لموقع نقطة الوصول الأقرب إلى الموقع وعنوان IP ثانوي من موقع نقطة وصول مختلف.

ملاحظة: تم اختبار التكوين في هذه المقالة باستخدام الإصدار الثابت 7.0.8.

IKEv2 بموقع "Cato" بدأ - إعداد جهاز "FortiGate" (CLI)

يوضح هذا القسم كيفية إعداد جهاز FortiGate لموقع IPsec IKEv2 يتم بدء التدفق عليه من Cato.

يرجى الاتصال بالجهاز FortiGate الخاص بك عبر SSH باستخدام حساب إداري.

لإعداد جهاز "FortiGate" للاتصال بموقع بدأ من IKEv2 Cato:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1-interface
    edit "CATO_IPSECV2-1" #[الاسم الأولي لـVPN]
        set interface "wan1"  #[واجهة الشبكة WAN في الموقع المحلي FGT]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments "VPN الأولي إلى CATO Cloud XCATD01"
        set dhgrp 16
        set remote-gw #[عنوان IP لنقطة الوصول Cato 1]
        set psksecret  #[مفتاح أمان القاعدة الأولي لـ Cato]
    next
end

config vpn ipsec phase1-interface
    edit "CATO_IPSECV2-2" #[الاسم الثانوي لـVPN]
        set interface "wan2" #[واجهة الشبكة WAN لموقع FGT الثانوي – إذا لم تكن متوفرة استخدم نفس واجهة WAN]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments "VPN الثانوي إلى CATO Cloud XCATD01"
        set dhgrp 16
        set remote-gw #[عنوان IP لنقطة الوصول Cato 2]
        set psksecret #[مفتاح أمان القاعدة الأولي لـ Cato]
     next
end

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2-interface
    edit "CATO_IPSECV2-1" #[اسم المرحلة الثانية للVPN]
        set phase1name "CATO_IPSECV2-1" #[اسم المرحلة الأولى للVPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
    edit "CATO_IPSECV2-2” #[اسم المرحلة الثانية للVPN]
        set phase1name "CATO_IPSECV2-2” #[اسم المرحلة الأولى للVPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
end

وجه حركة المرور عبر النفق VPN إلى السحابة Cato.

يمكنك القيام بذلك باستخدام التوجيه الثابت أو بشكل ديناميكي باستخدام BGP. في هذا المثال، نستخدم التوجيه الثابت.

config router static
   edit #[معرف مسار FGT المحلي الفريد]
        set dst 172.101.0.0 255.255.255.0 #[الشبكة الفرعية لـCato Networks البعيدة]
        set distance 1
        set device "CATO_IPSECV2-1"
    next
   edit #[معرف مسار FGT المحلي الفريد]
        set dst 172.101.0.0 255.255.255.0 #[الشبكة الفرعية لـCato Networks البعيدة]
        set priority 10
        set distance 1
        set device "CATO_IPSECV2-2”
    next
    edit #[معرف مسار FGT المحلي الفريد]
        set dst 172.101.0.0 255.255.255.0 #[بخلاف ذلك، أرسل إلى الثقب الأسود - الشبكة الفرعية لـCato Networks البعيدة]
        set blackhole enable
        set distance 254
    next
end

(اختياري) قم بإنشاء منطقة، مما يسهل عند إنشاء قاعدة جديدة أو إذا كنت بحاجة لتغيير أسماء VPN.
```
config system zone
    edit "Cato-Cloud-S2S" #[اسم المنطقة]
        set intrazone allow
        set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[الـVPN IPSEC الاثنين]
    next
```
تحذير! قد يتسبب تكوين المنطقة هذا في حدوث مشكلات في بعض إصدارات نظام التشغيل FortiOS.

قم بتكوين سياسة الجدار الناري بقواعد تسمح بحركة المرور داخل النفق.

config firewall policy
    edit #[معرف قاعدة FGT المحلي]
        set name "CATO Firewall"
        set srcintf "Virtual Lan" #[واجهة الشبكة للموقع المحلي FGT أو الواجهات]
        set dstintf "Cato-Cloud-S2S"#[منطقة VPN الشبكة أو واجهات VPN عن بعد لـCato Networks]
        set action accept
        set srcaddr "all" #[أفضل ممارسات – الفلترة بعنوان محلي / مجموعة]
        set dstaddr "all" #[أفضل ممارسات – الفلترة بعنوان CATO / مجموعة]
        set schedule "always"
        set service "ALL"
    next
end

IKEv1 شكل عدائي (بدأ من الجدار الناري) الموقع - إعداد جهاز FortiGate (CLI)

يوضح هذا القسم كيفية إعداد جهاز FortiGate لموقع Cato IPsec IKEv1 حيث يتم بدء التدفق بواسطة جهاز FortiGate لدعم عنوان IP العام الديناميكي لحركة مرور WAN.

ملاحظة: تم اختبار هذا التكوين في هذه المقالة باستخدام الإصدار الثابت 7.0.8.

لإعداد جهاز FortiGate للاتصال بموقع بدء من الجدار الناري IKEv1:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1-interface
edit "CATO_Cloud_M1" #[الاسم الأولي لـVPN]
        set interface "wan1" #[واجهة الشبكة WAN في الموقع المحلي FGT]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "." #[تعيين معرف محلي - يمكنك الحصول عليه من تكوين الموقع -> قائمة IPSec]
        set dhgrp 16
        set remote-gw  #[عنوان IP الرئيسي لنقطة الوصول Cato]
        set psksecret #[مفتاح أمان القاعدة الأولي لـ Cato]
next
edit "CATO_Cloud_M2" #[الاسم الثانوي لـVPN]
        set interface "wan2" #[واجهة الشبكة WAN للموقع الثانوي FGT – إذا لم تكن متوفرة استخدم نفس واجهة WAN]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "." #[تعيين معرف محلي - يمكنك الحصول عليه من تكوين الموقع -> قائمة IPSec]
        set dhgrp 16
        set remote-gw  #[عنوان IP الثانوي لنقطة الوصول Cato]
        set psksecret #[مفتاح أمان القاعدة الثانوي لـ Cato]
next

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2-interface
    edit "CATO_Cloud_M1" #[اسم المرحلة الثانية للVPN]
        set phase1name "CATO_Cloud_M1" #[اسم المرحلة الأولى للVPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Phase2"
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_M2" #[اسم المرحلة الثانية للVPN]
        set phase1name "CATO_Cloud_M2" #[اسم المرحلة الأولى للVPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Phase2"
        set keylifeseconds 3600
    next

وجه حركة المرور عبر النفق VPN إلى السحابة Cato.

يمكنك القيام بذلك باستخدام التوجيه الثابت أو بشكل ديناميكي باستخدام BGP. في هذا المثال، نستخدم التوجيه الثابت.

edit #[معرف المسار الفريد المحلي FGT]
        set dst 10.254.254.0 255.255.255.0  #[الشبكة الفرعية لـCato Networks البعيدة]
        set distance 1
        set device "CATO_Cloud_M1"

next
edit #[معرف المسار الفريد المحلي FGT]
        set dst 10.254.254.0 255.255.255.0  #[الشبكة الفرعية لـCato Networks البعيدة]
        set distance 1
        set priority 20 #[سيكون هذا الاتصال النسخة الاحتياطية لذا يلزم أولوية أعلى]
        set device "CATO_Cloud_M2"
next
edit #[معرف المسار الفريد المحلي FGT]
        set dst 10.254.254.0 255.255.255.0 #[بخلاف ذلك، أرسل إلى الثقب الأسود - Cato Networks البعيدة]
        set blackhole enable
        set distance 254    
next

(اختياري) قم بإنشاء منطقة، مما يسهل عند إنشاء قاعدة جديدة أو إذا كنت بحاجة لتغيير أسماء VPN.
```
config system zone
    edit "Cato-Cloud-Dial-up" #[اسم المنطقة]
        set intrazone allow
        set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[الـVPN IPSEC الاثنين]
    next
```
تحذير! قد يتسبب تكوين المنطقة هذا في حدوث مشكلات في بعض إصدارات نظام التشغيل FortiOS.

قم بتكوين سياسة الجدار الناري بقواعد تسمح بحركة المرور داخل النفق.

config firewall policy
    edit #[معرف قاعدة FGT المحلي]
        set name "CATO Firewall"
        set srcintf "Virtual Lan" #[واجهة الشبكة للموقع المحلي FGT أو الواجهات]
        set dstintf "Cato-Cloud-Dial-up"#[منطقة VPN الشبكة أو واجهات VPN عن بعد لـCato Networks]
        set action accept
        set srcaddr "all" #[أفضل ممارسات – الفلترة بعنوان محلي / مجموعة]
        set dstaddr "all" #[أفضل ممارسات – الفلترة بعنوان CATO / مجموعة]
        set schedule "always"
        set service "ALL"
    next
end

موقع IKEv1 - إعداد FortiOS VS 3 (CLI)

يوضح هذا القسم كيفية إعداد FortiOS VS3 لموقع Cato IPsec IKEv1 لدعم عنوان IP العام الديناميكي لحركة مرور WAN.

لإعداد FortiOS VS 3 للاتصال بموقع IPsec IKEv1:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1
    edit "Cato"
        set interface "wan1"
        set localid "." #[تعيين المعرف المحلي - يمكنك الحصول عليه من تكوين الموقع -> قائمة IPSec] 
        set nattraversal enable
        set proposal aes256-sha1
        set keylife 86400
        set mode aggressive
        set add-gw-route enable
        set remote-gw  #[عنوان IP الثانوي لنقطة الوصول Cato]
        set psksecret #[مفتاح أمان القاعدة الأولي لـ Cato]
     next
end

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2
    edit "Cato"
        set keepalive enable
        set pfs enable
        set phase1name "Cato"
        set proposal aes256-sha1
        set replay enable
        set keylifeseconds 3600
        set src-subnet 10.230.230.0 255.255.255.0
    next

قم بتكوين قاعدة الجدار الناري:

    edit  #[اسم قاعدة الجدار الناري]
        set srcintf "internal"
        set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
        set action ipsec
        set schedule "always"
            set service "ANY"
        set logtraffic enable
        set inbound enable
        set outbound enable
        set vpntunnel "Cato"
   next

قم بتكوين التوجيه للموقع:

config router static
     edit X
        set device "Cato" #[اسم IPSec]
        set dst 10.230.230.0 255.255.255.0 #[الشبكة الفرعية لـCato Networks البعيدة]
        next
end
config router static
    edit Y
        set blackhole enable
        set dst 10.230.230.0 255.255.255.0 #[الشبكة الفرعية لـCato Networks البعيدة] 
        set distance 254
    next 
end

موقع IKEv2 – إعداد Cato IPsec IKEv2 لوضع الاستجابة فقط مع FortiGate

يوضح هذا القسم كيفية إعداد FortiOS لموقع Cato IPsec IKEv2 الذي يستجيب فقط لدعم عنوان IP الديناميكي العام لحركة مرور WAN. توضح هذه الجزء من المقالة تكوين VPN القائم على المسار.

تم اختبار هذا التكوين على FortiOS 6.0.X وعلى FortiOS 7.0.X.

أول شيء يجب القيام به هو إنشاء موقع IKEv2 في CMA وفي إعدادات IPsec اختر وضع الاتصال Responder فقط. بهذه الطريقة لن يقوم Cato ببدء الاتصال.

سيظهر قائمة فرعية جديدة ستتيح لك الخيار بتحديد معرف مصادقة. حدد هنا الخيار KEY_ID. سيتابع النظام وسيولد Local.ID بشكل كالم فارم: [XXXXXXXX].[SiteID]. قم بتكوين PSK ومجموعة DH إلى 16.

لإعداد إعدادات IPsec لـFortiOS:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

تهيئة vpn ipsec للواجهة المرحلة1
    edit "CATO_Cloud_MK21" #[ اسم VPN الأساسي] 
        set interface "wan1" #[واجهة شبكة الموقع المحلي FGT]
        set ike-version 2
        set keylife 19800
        set peertype "any" #[أي]
        set mode-cfg "معطل" #[Disabled]
        set proposal "aes256gcm-prfsha512"
        set localid "[XXXXXXXX].[SiteID]" #[تعيين معرف المحلي من إعداد الموقع -> قائمة IPsec]
        set comments "بداية IPSec الأول إلى جدار حماية Cato"
        set dhgrp 16
        set nattraversal "forced"
        set remote-gw    #[عنوان IP الأساسي لنقطة PoP لـ Cato]
        set psksecret    #[PSK الذي تم تكوينه الأساسي لـ Cato]
    next
    edit "CATO_Cloud_MK22" #[اسم VPN الثانوي]
        set interface "wan2" #[واجهة شبكة الموقع الثانوي FGT – إذا لم تكن متوفرة استخدم نفس الواجهة]
        set ike-version 2
        set keylife 19800
        set peertype "any" #[أي]
        set mode-cfg "معطل" #[Disabled]
        set proposal "aes256gcm-prfsha512"
        set localid "[XXXXXXXX].[SiteID]" #[تعيين معرف المحلي من إعداد الموقع -> قائمة IPsec]
        set comments "نسخة احتياطية لبداية IPSec الثاني إلى جدار حماية Cato"
        set dhgrp 16
        set remote-gw    #[عنوان IP الثانوي لنقطة PoP لـ Cato]
        set psksecret    #[PSK الذي تم كونينتهار الثانوي لـ Cato]ّ
    next

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2-interface
    edit "CATO_Cloud_MK22" #[اسم المرحلة الثانية للVPN]
        set phase1name "CATO_Cloud_MK22" #[اسم المرحلة الأولى للVPN] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_MK21" #[اسم المرحلة الثانية للVPN]
        set phase1name "CATO_Cloud_MK21" #[اسم المرحلة الأولى للVPN] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next

وجه حركة المرور عبر النفق VPN إلى السحابة Cato:

config router static
    edit X #[معرف مسار FGT المحلي الفريد]
        set dst 10.254.254.0 255.255.255.0 #[الشبكة الفرعية لـCato Networks البعيدة – استبدل بما تراه مناسبًا]
        set device "CATO_Cloud_MK21"
    next
    edit Y #[معرف مسار FGT المحلي الفريد]
        set dst 10.254.254.0 255.255.255.0 #[الشبكة الفرعية لـCato Networks البعيدة – استبدل بما تراه مناسبًا]
        set priority 10 #[سيكون هذا الاتصال النسخة الاحتياطية لذا يلزم أولوية أعلى]
        set device "CATO_Cloud_MK22"
    next
    edit Z #[معرف مسار FGT المحلي الفريد]
        set dst 10.254.254.0 255.255.255.0 #[بخلاف ذلك، أرسل إلى الثقب الأسود - Cato Networks البعيدة]
        set distance 254
        set blackhole enable
    next

قم بتكوين سياسة الجدار الناري بقواعد تسمح بحركة المرور داخل النفق.

config firewall policy
    edit #[معرف قاعدة FGT المحلي]
        set name "From_Cato_Primary_IPsec"
        set srcintf "CATO_Cloud_MK21" #[منطقة VPN الشبكة أو واجهات VPN عن بعد لـCato Networks]
        set dstintf "internal_LAN" #[واجهة الشبكة للموقع المحلي FGT أو الواجهات]
        set srcaddr "all" #[أفضل ممارسات – الفلترة بعنوان Cato / مجموعة]
        set dstaddr "all" #[أفضل ممارسات – الفلترة بعنوان محلي / مجموعة]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير مطلوب في إصدارات FortiOS الأحدث]
        set comments "المرور من IPSec الرئيسي لـCato"
    next
    edit #[معرف قاعدة FGT المحلي]
        set name "To_Cato_Primary_IPsec"
        set srcintf "internal_LAN" #[واجهة الشبكة للموقع المحلي FGT أو الواجهات]
        set dstintf "CATO_Cloud_MK21" #[منطقة VPN الشبكة أو واجهات VPN عن بعد لـCato Networks]
        set srcaddr "all" #[أفضل ممارسات – الفلترة بعنوان محلي / مجموعة]
        set dstaddr "all" #[أفضل ممارسات – الفلترة بعنوان Cato / مجموعة]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير مطلوب في إصدارات FortiOS الأحدث]
        set comments "المرور من الشبكة المحلية إلى IPSec الرئيسي لـCato"
    next
    edit #[معرف قاعدة FGT المحلي]
        set name "From_Cato_Secondary_IPsec"
        set srcintf "CATO_Cloud_MK22" #[منطقة VPN الشبكة أو واجهات VPN عن بعد لـCato Networks]
        set dstintf "internal_LAN" #[واجهة الشبكة للموقع المحلي FGT أو الواجهات]
        set srcaddr "all" #[أفضل ممارسات – الفلترة بعنوان Cato / مجموعة]
        set dstaddr "all" #[أفضل ممارسات – الفلترة بعنوان محلي / مجموعة]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير مطلوب في إصدارات FortiOS الأحدث]
        set comments "المرور من IPSec الثانوي لـCato"
    next
    edit #[معرف قاعدة FGT المحلي]
        set name "To_Cato_Secondary_IPsec"
        set srcintf "internal_LAN" #[واجهة الشبكة للموقع المحلي FGT أو الواجهات]
        set dstintf "CATO_Cloud_MK22" #[منطقة VPN الشبكة أو واجهات VPN عن بعد لـCato Networks] 
        set srcaddr "all" #[أفضل ممارسات – الفلترة بعنوان محلي / مجموعة]
        set dstaddr "all" #[أفضل ممارسات – الفلترة بعنوان Cato / مجموعة]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير مطلوب في إصدارات FortiOS الأحدث]
        set comments "المرور من الشبكة المحلية إلى IPSec الثانوي لـCato"
    next
end

إعداد جهاز FortiOS باستخدام واجهة GUI

لإعداد FortiOS للاتصال بموقع IKEv2 بدأ من الجدار الناري عبر GUI:

إعدادات IPsec في FortiOS:
1. انتقل إلى VPN > IPsec Wizard، وأدخل اسم VPN وحدد اسم القالب – Custom. انقر على Next.
2. في الشاشة التالية قم بالتكوين كما يلي:
قم بتكوين إعدادات سياسة الجدار الناري:

أنشئ سياسة جدار ناري للسماح بحركة المرور من وإلى موقع Cato IPsec. انتقل إلى Policy > Objects > Firewall policy وانقر على Create New. نقترح السماح بجميع حركة المرور من جميع الشبكات FW ولكن يمكنك اختيار المصدر / الوجهة / الخدمات كما تفضل.

ملاحظة: عادة لا تحتاج إلى NAT لحركة المرور الخاصة بك.
قم بتكوين المسارات الثابتة:

أخيراً، أضف المسار من Network > Static routes > Create New. قم بتجميعه مع نطاق IP لـ Cato الذي تريد الوصول إليه من خلال اتصال IPsec.
1. لإنشاء النفق الاحتياطي، كرر العملية (1. إنشاء اتصال IPsec مع عنوان IP مختلف لنقطة الوصول لـCato / 2. إنشاء سياسة FW لـIPsec الجديد وعند الوصول إلى مرحلة التوجيه، حدد الأولوية / المسافة الإدارية على رقم أعلى.
2. تكوين إعدادات التوجيه الديناميكي للموقع في تطبيق إدارة Cato. حدد IPs الخاصة للأنفاق الرئيسية والثانوية للموقع.
  
  إذا كنت ترغب في تكوين التوجيه الديناميكي في بيئتك، فسوف تحتاج إلى تخطي الخطوة 4.
3. قم بتكوين إعدادات BGP الأساسية والثانوية للموقع.
إعداد إعدادات التوجيه الديناميكية في واجهة FortiGate GUI.
1. قم بتكوين كل من الواجهات باستخدام Cato وIPات الخاصة بـ FortiGate وفتح الوصول الإداري للـ Ping:
2. انتقل إلى Network > BGP وقم بإنشاء جارين جديدين يعكسان تكوين Cato:
3. قم بتكوين AS المحلي بنفس إعدادات تطبيق إدارة Cato:
4. انقر على Save .
  
  سترى كلا النفقين متصلين وفي تطبيق إدارة Cato في تكوين الموقع > BGP، الحالة هي Established via incoming connection في كلا اتصالات IPsec: