الاتصال بين السحابة Cato و FortiGate عبر أنفاق IPSec عالية التوفر

تتناول هذه المقالة كيفية ربط موقع بنظام IPsec مع أجهزة FortiGate في تكوين عالي التوفر إلى السحابة Cato.

نظرة عامة على VPN بين Cato و FortiGate مع مواقع IPsec

تفترض هذه المقالة أنك تعمل في بيئة بها جهاز FortiGate متصل بالإنترنت من خلال رابطين للحزمة العريضة سنقوم ببناء اتصالات IPsec إلى نقطتين للسحابة Cato.

يمكن الحصول على عنوان IP لنقطة الوصول السحابية Cato عن طريق تخصيص عنوان IP جديد (أو استخدام قديم) من تطبيق إدارة Cato ضمن الشبكة > تخصيص IP. نوصي باختيار عنوان IP الأساسي لموقع نقطة الوصول الأقرب إلى الموقع وعنوان IP ثانوي من موقع نقطة وصول مختلف.

ملاحظة: تم اختبار التكوين في هذه المقالة باستخدام الإصدار الثابت 7.0.8.

IKEv2 مع موقع يتم بدءه من Cato - إعداد جهاز FortiGate (CLI)

يوضح هذا القسم كيفية إعداد جهاز FortiGate لموقع IPsec IKEv2 يتم بدء التدفق عليه من Cato.

يرجى الاتصال بالجهاز FortiGate الخاص بك عبر SSH باستخدام حساب إداري.

لإعداد جهاز FortiGate للاتصال بموقع IKEv2 يتم بدء التدفق عليه من Cato:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1-interface
    edit “CATO_IPSECV2-1” #[اسم VPN الأساسي]
        set interface "wan1"  #[واجهة الشبكة WAN المحلية لموقع FGT]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments “VPN أساسي إلى CATO Cloud XCATD01”
        set dhgrp 16
        set remote-gw #[عنوان IP لـ Cato POP 1]
        set psksecret  #[PSK الذي أعده Cato الأساسي]
    next
end

config vpn ipsec phase1-interface
    edit “CATO_IPSECV2-2” #[اسم VPN الثانوي]
        set interface "wan2" #[واجهة الشبكة WAN الخاصة بموقع FGT الثانوي - إذا لم تكن متوفرة، استخدم واجهة WAN نفسها]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments “VPN ثانوي إلى CATO Cloud XCATD01”
        set dhgrp 16
        set remote-gw #[عنوان IP لـ Cato POP 2]
        set psksecret #[PSK الذي أعده Cato الأساسي]
     next
end

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2-interface
    edit "CATO_IPSECV2-1" #[اسم VPN المرحلة 2]
        set phase1name "CATO_IPSECV2-1" #[اسم VPN المرحلة 1]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
    edit "CATO_IPSECV2-2” #[اسم VPN المرحلة 2]
        set phase1name "CATO_IPSECV2-2” #[اسم VPN المرحلة 1]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
end

وجه حركة المرور عبر النفق VPN إلى السحابة Cato.

يمكنك القيام بذلك باستخدام التوجيه الثابت أو بشكل ديناميكي باستخدام BGP. في هذا المثال، نستخدم التوجيه الثابت.

config router static
   edit #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 172.101.0.0 255.255.255.0 #[الشبكة الفرعية لـ CATO Networks عن بُعد]
        set distance 1
        set device "CATO_IPSECV2-1"
    next
   edit #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 172.101.0.0 255.255.255.0 #[الشبكة الفرعية لـ CATO Networks عن بُعد]
        set priority 10
        set distance 1
        set device "CATO_IPSECV2-2”
    next
    edit #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 172.101.0.0 255.255.255.0 #[خذ غير ذلك إلى الحفرة السوداء - الشبكة الفرعية لـ CATO Networks عن بُعد]
        set blackhole enable
        set distance 254
    next
end

(اختياري) قم بإنشاء منطقة، مما يسهل عند إنشاء قاعدة جديدة أو إذا كنت بحاجة لتغيير أسماء VPN.
```
config system zone
    edit "Cato-Cloud-S2S" #[اسم المنطقة]
        set intrazone allow
        set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[اثنين من VPN IPSEC]
    next
```
تحذير! قد يتسبب تكوين المنطقة هذا في حدوث مشكلات في بعض إصدارات نظام التشغيل FortiOS.

قم بتكوين سياسة الجدار الناري بقواعد تسمح بحركة المرور داخل النفق.

config firewall policy
    edit #[معرف القاعدة المحلي FGT]
        set name “جدار ناري CATO”
        set srcintf "الشبكة المحلية الافتراضية" #[واجهة شبكة موقع FGT المحلي]
        set dstintf "Cato-Cloud-S2S"#[منطقة VPN الخاصة بـ CATO Networks عن بُعد أو واجهات VPN]
        set action accept
        set srcaddr "all" #[أفضل ممارسة – التصفية حسب العنوان المحلي / المجموعة]
        set dstaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة الخاصة بـ CATO]
        set schedule "دائمًا"
        set service "ALL"
    next
end

موقع IKEv1 بشروط عدائية (يتم بدء الجدار الناري) - إعداد جهاز FortiGate (CLI)

يوضح هذا القسم كيفية إعداد جهاز FortiGate لموقع Cato IPsec IKEv1 حيث يتم بدء التدفق بواسطة جهاز FortiGate لدعم عنوان IP العام الديناميكي لحركة مرور WAN.

ملاحظة: تم اختبار هذا التكوين في هذه المقالة باستخدام الإصدار الثابت 7.0.8.

لإعداد جهاز FortiGate للاتصال بموقع جدار ناري يتم بدءه بنظام IKEv1:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1-interface
edit "CATO_Cloud_M1" #[اسم VPN الأساسي]
        set interface "wan1" #[واجهة الشبكة WAN للموقع المحلي FGT]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "<site_name>.<acc_name>" #[تعيين المعرف المحلي - يمكنك الحصول على ذلك من تكوين الموقع > قائمة IPsec]
        set dhgrp 16
        set remote-gw  #[عنوان IP الأساسي لـ Cato pop]
        set psksecret #[PSK الذي أعده Cato الأساسي]
next
edit "CATO_Cloud_M2" #[اسم VPN الثانوي]
        set interface "wan2" #[واجهة الشبكة WAN للموقع الثايني لـ FGT - إذا لم تكن متوفرة، استخدم نفس واجهة WAN]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "<site_name>.<acc_name>" #[تعيين المعرف المحلي - يمكنك الحصول على ذلك من تكوين الموقع > قائمة IPsec]
        set dhgrp 16
        set remote-gw  #[عنوان IP الثانوي لـ Cato pop]
        set psksecret #[PSK الذي أعده Cato الأساسي]
next

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2-interface
    edit "CATO_Cloud_M1" #[اسم VPN المرحلة 2]
        set phase1name "CATO_Cloud_M1" #[اسم VPN المرحلة 1]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Phase2"
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_M2" #[اسم VPN المرحلة 2]
        set phase1name "CATO_Cloud_M2" #[اسم VPN المرحلة 1]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Phase2"
        set keylifeseconds 3600
    next

وجه حركة المرور عبر النفق VPN إلى السحابة Cato.

يمكنك القيام بذلك باستخدام التوجيه الثابت أو بشكل ديناميكي باستخدام BGP. في هذا المثال، نستخدم التوجيه الثابت.

edit #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 10.254.254.0 255.255.255.0  #[الشبكة الفرعية لـ CATO Networks عن بُعد]
        set distance 1
        set device "CATO_Cloud_M1"

next
edit #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 10.254.254.0 255.255.255.0  #[الشبكة الفرعية لـ CATO Networks عن بُعد]
        set distance 1
        set priority 20 #[سيكون هذا الاتصال الاحتياطي لذا تحتاج إلى أولوية أعلى]
        set device "CATO_Cloud_M2"
next
edit #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 10.254.254.0 255.255.255.0 #[خذ غير ذلك إلى الحفرة السوداء - الشبكة الفرعية لـ CATO Networks]
        set blackhole enable
        set distance 254    
next

(اختياري) قم بإنشاء منطقة، مما يسهل عند إنشاء قاعدة جديدة أو إذا كنت بحاجة لتغيير أسماء VPN.
```
config system zone
    edit "Cato-Cloud-Dial-up" #[اسم المنطقة]
        set intrazone allow
        set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[اثنين من VPN IPSEC]
    next
```
تحذير! قد يتسبب تكوين المنطقة هذا في حدوث مشكلات في بعض إصدارات نظام التشغيل FortiOS.

قم بتكوين سياسة الجدار الناري بقواعد تسمح بحركة المرور داخل النفق.

config firewall policy
    edit #[معرف القاعدة المحلي FGT]
        set name “جدار ناري CATO”
        set srcintf "الشبكة المحلية الافتراضية" #[واجهة شبكة موقع FGT المحلي أو الواجهات]
        set dstintf "Cato-Cloud-Dial-up"#[منطقة VPN الخاصة بـ CATO Networks عن بُعد أو واجهات VPN]
        set action accept
        set srcaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة المحلي]
        set dstaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة الخاصة بـ CATO]
        set schedule "دائمًا"
        set service "ALL"
    next
end

موقع IKEv1 - إعداد FortiOS VS 3 (CLI)

يوضح هذا القسم كيفية إعداد FortiOS VS3 لموقع Cato IPsec IKEv1 لدعم عنوان IP العام الديناميكي لحركة مرور WAN.

لإعداد FortiOS VS 3 للاتصال بموقع IPsec IKEv1:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1
    edit "Cato"
        set interface "wan1"
        set localid "<site_name>.<acc_name>" #[تعيين المعرف المحلي - يمكنك الحصول على ذلك من تكوين الموقع > قائمة IPsec] 
        set nattraversal enable
        set proposal aes256-sha1
        set keylife 86400
        set mode aggressive
        set add-gw-route enable
        set remote-gw <ip> #[عنوان IP الثانوي لـ Cato PoP]
        set psksecret #[PSK الذي أعده Cato الأساسي]
     next
end

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2
    edit "Cato"
        set keepalive enable
        set pfs enable
        set phase1name "Cato"
        set proposal aes256-sha1
        set replay enable
        set keylifeseconds 3600
        set src-subnet 10.230.230.0 255.255.255.0
    next

قم بتكوين قاعدة الجدار الناري:

    edit <name> #[اسم قاعدة الجدار الناري]
        set srcintf "internal"
        set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
        set action ipsec
        set schedule "دائمًا"
            set service "ANY"
        set logtraffic enable
        set inbound enable
        set outbound enable
        set vpntunnel "Cato"
   next

قم بتكوين التوجيه للموقع:

config router static
     edit X
        set device "Cato” #[اسم IPsec]
        set dst 10.230.230.0 255.255.255.0 #[الشبكة الفرعية لـ CATO Networks عن بُعد]
        next
end
config router static
    edit Y
        set blackhole enable
        set dst 10.230.230.0 255.255.255.0 #[الشبكة الفرعية لـ CATO Networks عن بُعد] 
        set distance 254
    next 
end

موقع IKEv2 - إعداد Cato IPsec IKEv2 Responder-Only مع FortiGate

يوضح هذا القسم كيفية إعداد FortiOS لموقع Cato IPsec IKEv2 الذي يستجيب فقط لدعم عنوان IP الديناميكي العام لحركة مرور WAN. توضح هذه الجزء من المقالة تكوين VPN القائم على المسار.

تم اختبار هذا التكوين على FortiOS 6.0.X وعلى FortiOS 7.0.X.

أول شيء يجب القيام به هو إنشاء موقع IKEv2 في CMA وفي إعدادات IPsec اختر وضع الاتصال Responder فقط. بهذه الطريقة لن يقوم Cato ببدء الاتصال.

سيظهر قائمة فرعية جديدة ستتيح لك الخيار بتحديد معرف مصادقة. حدد هنا الخيار KEY_ID. سيتابع النظام وسيولد Local.ID بشكل كالم فارم: [XXXXXXXX].[SiteID]. قم بتكوين PSK ومجموعة DH إلى 16.

لتكوين إعدادات IPsec لـ FortiOS:

أدخل الإعدادات لتعريف مرحلة 1 من IPsec:

config vpn ipsec phase1-interface
    edit "CATO_Cloud_MK21" #[اسم VPN الأساسي]
        set interface "wan1" #[واجهة الشبكة WAN للموقع المحلي FGT]
        set ike-version 2
        set keylife 19800
        set peertype any
        set mode-cfg enable
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[SiteID]" #[تعيين المعرف المحلي - يمكنك الحصول على ذلك من تكوين الموقع > قائمة IPsec]
        set comments "IPSEC الأساسية 2 Cato المبادر FW"
        set dhgrp 16
        set nattraversal forced
        set remote-gw #[عنوان IP الأساسي لـ Cato PoP]
        set psksecret #[PSK الذي أعده Cato الأساسي]
    next
    edit "CATO_Cloud_MK22" #[اسم VPN الثانوي]
        set interface "wan2" #[واجهة الشبكة WAN للموقع الثانوي لـ FGT - إذا لم تكن متوفرة، استخدم نفس واجهة WAN]
        set ike-version 2
        set keylife 19800
        set peertype any
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[SiteID]" #[تعيين المعرف المحلي - يمكنك الحصول على ذلك من تكوين الموقع > قائمة IPsec]
        set comments "IPSEC الثانوية 2 Cato المبادر FW احتياطي"
        set dhgrp 16
        set remote-gw #[عنوان IP الثانوي لـ Cato PoP]
        set psksecret #[PSK الذي أعده Cato الثانوي]
    next

أدخل الإعدادات لتعريف مرحلة 2 من IPsec:

config vpn ipsec phase2-interface
    edit "CATO_Cloud_MK22" #[اسم VPN المرحلة 2]
        set phase1name "CATO_Cloud_MK22" #[اسم VPN المرحلة 1] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_MK21" #[اسم VPN المرحلة 2]
        set phase1name "CATO_Cloud_MK21" #[اسم VPN المرحلة 1] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next

وجه حركة المرور عبر النفق VPN إلى السحابة Cato:

config router static
    edit X #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 10.254.254.0 255.255.255.0 #[الشبكة الفرعية لـ Cato Networks عن بُعد – استبدل كما تتناسب]
        set device "CATO_Cloud_MK21"
    next
    edit Y #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 10.254.254.0 255.255.255.0 #[الشبكة الفرعية لـ Cato Networks عن بُعد – استبدل كما تتناسب]
        set priority 10 #[سيكون هذا الاتصال الاحتياطي لذا تحتاج إلى أولوية أعلى]
        set device "CATO_Cloud_MK22"
    next
    edit Z #[معرف المسار الفريد للموقع المحلي FGT]
        set dst 10.254.254.0 255.255.255.0 #[خذ غير ذلك إلى الحفرة السوداء - الشبكة الفرعية لـ Cato Networks]
        set distance 254
        set blackhole enable
    next

قم بتكوين سياسة الجدار الناري بقواعد تسمح بحركة المرور داخل النفق.

config firewall policy
    edit #[معرف القاعدة المحلي FGT]
        set name "من IPsec الابتدائي لـ CATO"
        set srcintf "CATO_Cloud_MK21" #[منطقة VPN الخاصة بـ Cato Networks عن بُعد أو واجهات VPN]
        set dstintf "LAN داخلي" #[واجهة شبكة موقع FGT المحلي أو الواجهات]
        set srcaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة الخاصة بـ Cato]
        set dstaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة المحلي]
        set action accept
        set schedule "دائمًا"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير ضروري في الإصدارات الأحدث من FortiOS]
        set comments "حركة المرور من IPsec الابتدائي لـ Cato"
    next
    edit #[معرف القاعدة المحلي FGT]
        set name "إلى IPsec الابتدائي لـ Cato"
        set srcintf "LAN داخلي" #[واجهة شبكة موقع FGT المحلي أو الواجهات]
        set dstintf "CATO_Cloud_MK21" #[منطقة VPN الخاصة بـ Cato Networks عن بُعد أو واجهات VPN]
        set srcaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة المحلي]
        set dstaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة الخاصة بـ Cato]
        set action accept
        set schedule "دائمًا"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير ضروري في الإصدارات الأحدث من FortiOS]
        set comments "حركة المرور من الشبكة المحلية إلى IPsec الابتدائي لـ Cato"
    next
    edit #[معرف القاعدة المحلي FGT]
        set name "من IPsec الثانوي لـ CATO"
        set srcintf "CATO_Cloud_MK22" #[منطقة VPN الخاصة بـ Cato Networks عن بُعد أو واجهات VPN]
        set dstintf "LAN داخلي" #[واجهة شبكة موقع FGT المحلي أو الواجهات]
        set srcaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة الخاصة بـ Cato]
        set dstaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة المحلي]
        set action accept
        set schedule "دائمًا"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير ضروري في الإصدارات الأحدث من FortiOS]
        set comments "حركة المرور من IPsec الثانوي لـ Cato"
    next
    edit #[معرف القاعدة المحلي FGT]
        set name "إلى IPsec الثانوي لـ Cato"
        set srcintf "LAN داخلي" #[واجهة شبكة موقع FGT المحلي أو الواجهات]
        set dstintf "CATO_Cloud_MK22" #[منطقة VPN الخاصة بـ Cato Networks عن بُعد أو واجهات VPN] 
        set srcaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة المحلي]
        set dstaddr "all" #[أفضل ممارسة – التصفية حسب العنوان / المجموعة الخاصة بـ Cato]
        set action accept
        set schedule "دائمًا"
        set service "ALL"
        set logtraffic all
        set fsso disable #[غير ضروري في الإصدارات الأحدث من FortiOS]
        set comments "حركة المرور من الشبكة المحلية إلى IPsec الثانوي لـ Cato"
    next
end

إعداد جهاز FortiOS باستخدام الواجهة الرسومية

لإعداد FortiOS للاتصال بموقع IPsec IKEv2 يتم بدءه بجهاز الجدار الناري عبر الواجهة الرسومية:

تكوين إعدادات IPsec على FortiOS:
1. انتقل إلى VPN > IPsec Wizard، وأدخل اسم VPN وحدد اسم القالب – Custom. انقر على Next.
2. في الشاشة التالية قم بالتكوين كما يلي:
قم بتكوين إعدادات سياسة الجدار الناري:

أنشئ سياسة جدار ناري للسماح بحركة المرور من وإلى موقع Cato IPsec. انتقل إلى Policy > Objects > Firewall policy وانقر على Create New. نقترح السماح بجميع حركة المرور من جميع الشبكات FW ولكن يمكنك اختيار المصدر / الوجهة / الخدمات كما تفضل.

ملاحظة: عادة لا تحتاج إلى NAT لحركة المرور الخاصة بك.
قم بتكوين المسارات الثابتة:

أخيراً، أضف المسار من Network > Static routes > Create New. قم بتجميعه مع نطاق IP لـ Cato الذي تريد الوصول إليه من خلال اتصال IPsec.
1. لإنشاء النفق الاحتياطي، كرر العملية (1. إنشاء اتصال IPsec مع IP Cato PoP آخر / 2. إنشاء سياسة FW للـ IPsec) وعند الوصول إلى مرحلة التوجيه قم بتعيين الأولوية / مسافة الإدارة إلى رقم أعلى.
2. تكوين إعدادات التوجيه الديناميكي للموقع في تطبيق إدارة Cato. حدد IPs الخاصة للأنفاق الرئيسية والثانوية للموقع.
  
  إذا كنت ترغب في تكوين التوجيه الديناميكي في بيئتك، فسوف تحتاج إلى تخطي الخطوة 4.
3. قم بتكوين إعدادات BGP الأساسية والثانوية للموقع.
قم بتكوين إعدادات التوجيه الديناميكي في واجهة FortiGate.
1. قم بتكوين كل من الواجهات باستخدام Cato وIPات الخاصة بـ FortiGate وفتح الوصول الإداري للـ Ping:
2. انتقل إلى Network > BGP وقم بإنشاء جارين جديدين يعكسان تكوين Cato:
3. قم بتكوين AS المحلي بنفس إعدادات تطبيق إدارة Cato:
4. انقر على Save .
  
  سترى كلا النفقين متصلين وفي تطبيق إدارة Cato في تكوين الموقع > BGP، الحالة هي Established via incoming connection في كلا اتصالات IPsec: