Cato Cloud à FortiGate via Tunnels IPSec HA

Cet article explique comment connecter un site IPsec avec des appareils FortiGate dans une configuration à haute disponibilité (HA) au Cato Cloud.

Vue d'ensemble de Cato vers le haut FortiGate VPN avec IPsec Sites

Cet article suppose que vous travaillez dans un environnement avec un FortiGate connecté à Internet avec deux liaisons WAN où nous allons configurer les connexions IPSec vers deux PoPs de Cato.

L'IP du PoP Cato peut être obtenue en allouant une nouvelle adresse IP (ou en utilisant une ancienne) depuis l'application de gestion Cato dans Network > IP Allocations. Nous recommandons de choisir l'IP primaire pour le lieu du PoP le plus proche du site et l'IP secondaire d'un lieu PoP différent.

Remarque : Cette configuration dans cet article a été testée avec la version de firmware 7.0.8.

IKEv2 avec Site initié par Cato - Configurer l'Appareil FortiGate (CLI)

Cette section explique comment configurer le dispositif FortiGate pour un site IPsec IKEv2 Cato avec routage initié par Cato.

Veuillez vous connecter en SSH à votre dispositif FortiGate avec un compte administrateur.

Pour configurer l'appareil FortiGate pour se connecter à un site initié par IKEv2 Cato :

Entrez les paramètres pour définir la phase 1 de l'IPsec :

config vpn ipsec phase1-interface
 edit “CATO_IPSECV2-1” #[Nom du VPN Principal] 
 set interface "wan1" #[Interface WAN du réseau local du site FGT]
 set ike-version 2
 set keylife 19800
 set peertype any
 set net-device disable
 set proposal aes256gcm-prfsha512
 set comments “VPN Principal Vers CATO Cloud XCATD01”
 set dhgrp 16
 set remote-gw #[IP POP Cato 1]
 set psksecret #[PSK configuré Principal Cato]
 next
end

config vpn ipsec phase1-interface
 edit “CATO_IPSECV2-2” #[Nom du VPN Secondaire] 
 set interface "wan2" #[Interface WAN du réseau local du site FGT Secondaire – si non disponible, utiliser la même interface WAN]
 set ike-version 2
 set keylife 19800
 set peertype any
 set net-device disable
 set proposal aes256gcm-prfsha512
 set comments “VPN Secondaire Vers CATO Cloud XCATD01”
 set dhgrp 16
 set remote-gw #[IP POP Cato 2]
 set psksecret #[PSK configuré Principal Cato]
 next
end

Entrez les paramètres pour définir la phase 2 de l'IPsec :

config vpn ipsec phase2-interface
 edit "CATO_IPSECV2-1" #[Nom Phase 2 du VPN] 
 set phase1name "CATO_IPSECV2-1" #[Nom Phase 1 du VPN] 
 set proposal aes256gcm
 set dhgrp 16
 set keylifeseconds 3600
 next
 edit "CATO_IPSECV2-2” #[Nom Phase 2 du VPN]
 set phase1name "CATO_IPSECV2-2” #[Nom Phase 1 du VPN]
 set proposal aes256gcm
 set dhgrp 16
 set keylifeseconds 3600
 next
end

Routen le trafic à travers le tunnel VPN vers le Cato Cloud.

Vous pouvez faire cela avec un routage statique ou dynamiquement en utilisant BGP. Dans cet exemple, nous utilisons un routage statique.

config router static
 edit #[ID de route unique FGT Local]
 set dst 172.101.0.0 255.255.255.0 #[Sous-réseau CATO Networks Remote]
 set distance 1
 set device "CATO_IPSECV2-1"
 next
 edit #[ID de route unique FGT Local]
 set dst 172.101.0.0 255.255.255.0 #[Sous-réseau CATO Networks Remote]
 set priority 10
 set distance 1
 set device "CATO_IPSECV2-2”
 next
 edit #[ID de route unique FGT Local]
 set dst 172.101.0.0 255.255.255.0 #[sinon envoyer vers le trou noir - Sous-réseau CATO Networks Remote]
 set blackhole enable
 set distance 254
 next
end

(Optionnel) Créez une zone, ce qui facilite la création d'une nouvelle règle ou si vous avez besoin de changer les noms de la VPN.
```
config system zone
 edit "Cato-Cloud-S2S" #[Nom de la Zone]
 set intrazone allow
 set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[les 2 VPN IPSEC]
 next
```
AVERTISSEMENT ! Cette configuration de zone peut causer des problèmes sur certaines versions du système d'exploitation FortiOS.

Configurez la politique du pare-feu avec des règles qui permettent le trafic à l'intérieur du tunnel.

config firewall policy
 edit #[ID de règle FGT Local]
 set name “CATO Pare-feu”
 set srcintf "Virtual Lan" #[Interface réseau site FGT Local]
 set dstintf "Cato-Cloud-S2S"#[Zone VPN CATO Networks Remote ou interfaces VPN]
 set action accept
 set srcaddr "all" #[Meilleure pratique – filtrer par adresse locale / groupe]
 set dstaddr "all" #[Meilleure pratique – filtrer par adresse CATO / groupe]
 set schedule "always"
 set service "ALL"
 next
end

IKEv1 Aggressif (Site initié par Pare-feu) - Configuration de l'Appareil FortiGate (CLI)

Cette section explique comment configurer le dispositif FortiGate pour un site IPsec Cato IKEv1 où le routage est démarré par le dispositif FortiGate pour supporter une adresse IP publique dynamique pour le trafic WAN.

Remarque : Cette configuration dans cet article a été testée avec la version de firmware 7.0.8.

Pour configurer l'appareil FortiGate pour se connecter à un site initié par IKEv1 Pare-feu :

Entrez les paramètres pour définir la phase 1 de l'IPsec :

config vpn ipsec phase1-interface
 edit "CATO_Cloud_M1" #[Nom du VPN Principal]
 set interface "wan1" #[Interface WAN du réseau local du site FGT]
 set keylife 19800
 set mode aggressive
 set peertype any
 set net-device disable
 set proposal aes256-sha512
 set localid "<nom_site>.<nom_compte>" #[Définir l'ID local - Vous pouvez obtenir cela depuis Paramètres du site -> menu IPsec]
 set dhgrp 16
 set remote-gw #[IP principal pop Cato]
 set psksecret #[PSK configuré Principal Cato]
next
edit "CATO_Cloud_M2" #[Nom du VPN Secondaire]
 set interface "wan2" #[Interface WAN du réseau local du site FGT Secondaire – si non disponible, utiliser la même interface WAN]
 set keylife 19800
 set mode aggressive
 set peertype any
 set net-device disable
 set proposal aes256-sha512
 set localid "<nom_site>.<nom_compte>" #[Définir l'ID local - Vous pouvez obtenir cela depuis Paramètres du site -> menu IPsec]
 set dhgrp 16
 set remote-gw #[IP secondaire pop Cato]
 set psksecret #[PSK configuré Secondaire Cato]
next

Entrez les paramètres pour définir la phase 2 de l'IPsec :

config vpn ipsec phase2-interface
 edit "CATO_Cloud_M1" #[Nom Phase 2 du VPN] 
 set phase1name "CATO_Cloud_M1" #[Nom Phase 1 du VPN]
 set proposal aes256-sha256
 set dhgrp 16
 set auto-negotiate enable
 set comments "Phase2"
 set keylifeseconds 3600
 next
 edit "CATO_Cloud_M2" #[Nom Phase 2 du VPN]
 set phase1name "CATO_Cloud_M2" #[Nom Phase 1 du VPN]
 set proposal aes256-sha256
 set dhgrp 16
 set auto-negotiate enable
 set comments "Phase2"
 set keylifeseconds 3600
 next

Routen le trafic à travers le tunnel VPN vers le Cato Cloud.

Vous pouvez faire cela avec un routage statique ou dynamiquement en utilisant BGP. Dans cet exemple, nous utilisons un routage statique.

edit #[ID de route unique FGT Local]
 set dst 10.254.254.0 255.255.255.0 #[Sous-réseau CATO Networks Remote]
 set distance 1
 set device "CATO_Cloud_M1"

next
edit #[ID de route unique FGT Local]
 set dst 10.254.254.0 255.255.255.0 #[Sous-réseau CATO Networks Remote]
 set distance 1
 set priority 20 #[ce sera la connexion de secours donc une priorité plus élevée est nécessaire]
 set device "CATO_Cloud_M2"
next
edit #[ID de route unique FGT Local]
 set dst 10.254.254.0 255.255.255.0 #[sinon envoyer vers le trou noir - CATO Networks Remote]
 set blackhole enable
 set distance 254
next

(Optionnel) Créez une zone, ce qui facilite la création d'une nouvelle règle ou si vous avez besoin de changer les noms de la VPN.
```
config system zone
 edit "Cato-Cloud-Dial-up" #[Nom de la Zone]
 set intrazone allow
 set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[les 2 VPN IPSEC]
 next
```
AVERTISSEMENT ! Cette configuration de zone peut causer des problèmes sur certaines versions du système d'exploitation FortiOS.

Configurez la politique du pare-feu avec des règles qui permettent le trafic à l'intérieur du tunnel.

config firewall policy
 edit #[ID de règle FGT Local]
 set name “CATO Pare-feu”
 set srcintf "Virtual Lan" #[Interface réseau ou interfaces du site FGT Loca]
 set dstintf "Cato-Cloud-Dial-up"#[Zone VPN CATO Networks Remote ou interfaces VPN]
 set action accept
 set srcaddr "all" #[Meilleure pratique – filtrer par adresse locale / groupe]
 set dstaddr "all" #[Meilleure pratique – filtrer par adresse CATO / groupe]
 set schedule "always"
 set service "ALL"
 next
end

Site IKEv1 - Configurer FortiOS VS 3 (CLI)

Cette section explique comment configurer FortiOS VS3 pour un site IPsec Cato IKEv1 afin de supporter une adresse IP publique dynamique pour le trafic WAN.

Pour configurer un FortiOS VS 3 pour se connecter à un site IKEv1 IPsec :

Entrez les paramètres pour définir la phase 1 de l'IPsec :

config vpn ipsec phase1
 edit "Cato"
 set interface "wan1"
 set localid "<nom_site>.<nom_compte>" #[Définir l'ID local - Vous pouvez obtenir cela depuis Paramètres du site -> menu IPsec] 
 set nattraversal enable
 set proposal aes256-sha1
 set keylife 86400
 set mode aggressive
 set add-gw-route enable
 set remote-gw <ip> #[IP secondaire PoP Cato]
 set psksecret #[PSK configuré Principal Cato]
next
end

Entrez les paramètres pour définir la phase 2 de l'IPsec :

config vpn ipsec phase2
 edit "Cato"
 set keepalive enable
 set pfs enable
 set phase1name "Cato"
 set proposal aes256-sha1
 set replay enable
 set keylifeseconds 3600
 set src-subnet 10.230.230.0 255.255.255.0
 next

Configurer la règle du pare-feu :

    edit <nom> #[le nom de la règle de pare-feu] 
 set srcintf "internal"
 set dstintf "wan1"
 set srcaddr "all"
 set dstaddr "all"
 set action ipsec
 set schedule "always"
 set service "ANY"
 set logtraffic enable
 set inbound enable
 set outbound enable
 set vpntunnel "Cato"
next

Configurer le routage pour le site :

config router static
 edit X
 set device "Cato” #[le nom ipsec]
 set dst 10.230.230.0 255.255.255.0 #[Sous-réseau CATO Networks Remote]
 next
end
config router static
 edit Y
 set blackhole enable
 set dst 10.230.230.0 255.255.255.0 #[Sous-réseau CATO Networks Remote] 
 set distance 254
 next 
end

Site IKEv2 – Configurer Cato IPsec IKEv2 Répondeur-uniquement avec FortiGate

Cette section explique comment configurer FortiOS pour un site uniquement répondeur Cato IPsec IKEv2 afin de prendre en charge une adresse IP publique dynamique pour le trafic WAN. Cette partie de l'article explique une configuration VPN basée sur un itinéraire.

Cette configuration a été testée sur FortiOS 6.0.X et FortiOS 7.0.X.

La première chose à faire est de créer le site IKEv2 dans le CMA et dans les paramètres IPsec, choisissez le mode de connexion comme Répondeur uniquement. De cette façon, Cato ne lancera pas la connexion.

Un nouveau sous-menu apparaîtra, vous donnant la possibilité de sélectionner un identifiant d'authentification. Sélectionnez ici l'option KEY_ID. Le système continuera et générera un ID local sous cette forme : [XXXXXXXX].[SiteID]. Configurer le PSK et le groupe DH à 16.

Pour configurer les paramètres IPsec pour le FortiOS :

Entrez les paramètres pour définir la phase 1 d'IPsec :

config vpn ipsec phase1-interface
    modifier le jeton d'accès "CATO_Cloud_MK21" #[Nom Primaire VPN] 
        définir l'interface "wan1" #[Réseau site FGT local Interface WAN]
        définir version ike 2
        définir durée de vie 19800
        définir type pair n'importe lequel
        définir mode-cfg désactivé
        définir proposition aes256gcm-prfsha512
        définir id local "[XXXXXXXX].[ID du site]" #[Définir l'ID local - Vous pouvez l'obtenir à partir de Paramètres du site -> menu IPsec]
        définir commentaires "IPSEC Principal 2 Cato FW Initié"
        définir dhgrp 16
        définir passage nat forcé
        définir passerelle distante                  #[IP primaire PoP Cato]
        définir clé pré-partagée         #[Clé pré-partagée configurée par Cato Primaire]
    suivant
    modifier le jeton d'accès "CATO_Cloud_MK22" #[Nom Secondaire VPN] 
        définir l'interface "wan2" #[Réseau site FGT secondaire Interface WAN – si non disponible utilisez la même interface WAN
        définir version ike 2
        définir durée de vie 19800
        définir type pair n'importe lequel
        définir mode-cfg désactivé
        définir proposition aes256gcm-prfsha512
        définir id local "[XXXXXXXX].[ID du site]" #[Définir l'ID local - Vous pouvez l'obtenir à partir de Paramètres du site -> menu IPsec]
        définir commentaires "IPSEC Secondaire 2 Cato FW Initié sauvegarde"
        définir dhgrp 16
        définir passerelle distante    #[IP secondaire PoP Cato]
        définir clé pré-partagée    #[Clé pré-partagée configurée par Cato Secondaire]
    suivant

Entrez les paramètres pour définir la phase 2 d'IPsec :

config vpn ipsec phase2-interface
 edit "CATO_Cloud_MK22" #[Nom Phase 2 du VPN]
 set phase1name "CATO_Cloud_MK22" #[Nom Phase 1 du VPN] 
 set proposal aes256-sha512
 set dhgrp 16
 set auto-negotiate enable
 set keylifeseconds 3600
 next
 edit "CATO_Cloud_MK21" #[Nom Phase 2 du VPN]
 set phase1name "CATO_Cloud_MK21" #[Nom Phase 1 du VPN] 
 set proposal aes256-sha512
 set dhgrp 16
 set auto-negotiate enable
 set keylifeseconds 3600
 next

Diriger le trafic via le tunnel VPN vers le Cato Cloud :

config router static
 edit X #[ID de route unique FGT Local]
 set dst 10.254.254.0 255.255.255.0 #[Sous-réseau Cato Networks Remote – à remplacer selon vos besoins]
 set device "CATO_Cloud_MK21"
 next
 edit Y #[ID de route unique FGT Local]
 set dst 10.254.254.0 255.255.255.0 #[Sous-réseau Cato Networks Remote – à remplacer selon vos besoins]
 set priority 10 #[ce sera la connexion de secours donc une priorité plus élevée est nécessaire]
 set device "CATO_Cloud_MK22"
 next
 edit Z #[ID de route unique FGT Local]
 set dst 10.254.254.0 255.255.255.0 #[sinon envoyer vers le trou noir - Cato Networks Remote]
 set distance 254
 set blackhole enable
 next

Configurer la politique de pare-feu avec des règles qui permettent le trafic à l'intérieur du tunnel.

config firewall policy
 edit #[ID de règle FGT Local] 
 set name "From_Cato_Primary_IPsec"
 set srcintf "CATO_Cloud_MK21" #[Zone VPN Cato Networks Remote ou interfaces VPN]
 set dstintf "internal_LAN" #[Interface réseau ou interfaces du site FGT Local]
 set srcaddr "all" #[Meilleure pratique – filtrer par adresse Cato / groupe]
 set dstaddr "all" #[Meilleure pratique – filtrer par adresse locale / groupe]
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic all
 set fsso disable #[Non nécessaire dans les nouvelles versions de FortiOS]
 set comments "Trafic Depuis le_Cato principal IPSec"
next
edit #[ID de règle FGT Local] 
 set name "To_Cato_Primary_IPsec"
 set srcintf "internal_LAN" #[Interface réseau ou interfaces du site FGT Local]
 set dstintf "CATO_Cloud_MK21" #[Zone VPN Cato Networks Remote ou interfaces VPN]
 set srcaddr "all" #[Meilleure pratique – filtrer par adresse locale / groupe]
 set dstaddr "all" #[Meilleure pratique – filtrer par adresse Cato / groupe]
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic all
 set fsso disable #[Non nécessaire dans les nouvelles versions de FortiOS]
 set comments "Trafic Depuis le réseau local vers le_Cato principal IPSec"
next
edit #[ID de règle FGT Local]
 set name "From_Cato_Secondary_IPsec"
 set srcintf "CATO_Cloud_MK22" #[Zone VPN Cato Networks Remote ou interfaces VPN]
 set dstintf "internal_LAN" #[Interface réseau ou interfaces du site FGT Local]
 set srcaddr "all" #[Meilleure pratique – filtrer par adresse Cato / groupe]
 set dstaddr "all" #[Meilleure pratique – filtrer par adresse locale / groupe]
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic all
 set fsso disable #[Non nécessaire dans les nouvelles versions de FortiOS]
 set comments "Trafic Depuis le_Cato secondaire IPSec"
next
edit #[ID de règle FGT Local]
 set name "To_Cato_Secondary_IPsec"
 set srcintf "internal_LAN" #[Interface réseau ou interfaces du site FGT Local]
 set dstintf "CATO_Cloud_MK22" #[Zone VPN Cato Networks Remote ou interfaces VPN] 
 set srcaddr "all" #[Meilleure pratique – filtrer par adresse locale / groupe]
 set dstaddr "all" #[Meilleure pratique – filtrer par adresse Cato / groupe]
 set action accept
 set schedule "always"
 set service "ALL"
 set logtraffic all
 set fsso disable #[Non nécessaire dans les nouvelles versions de FortiOS]
 set comments "Trafic Depuis le réseau local vers le_Cato secondaire IPSec"
,next
end

Configurer l'Appareil FortiOS avec le GUI

Pour configurer un FortiOS pour se connecter à un site FW-initié IKEv2 IPsec via GUI :

Configuration des paramètres IPsec pour FortiOS :
1. Aller à VPN > Assistant IPsec, entrer le nom du VPN et sélectionner le nom du modèle – Personnalisé. Cliquez sur Suivant.
2. Dans l'écran suivant, configurez comme ci-dessous :
Configurer les paramètres de politique du pare-feu :

Créer une politique de pare-feu pour autoriser le trafic depuis et vers le site IPsec Cato. Aller à Politique > Objets > Politique de pare-feu et cliquez sur Créer Nouveau. Nous vous suggérons de permettre tout le trafic de tous les Réseaux FW mais vous pouvez sélectionner la source / destination / services comme vous le souhaitez.

Remarque : Habituellement, vous n'avez pas besoin de faire du NAT sur votre trafic.
Configurer les routes statiques :

Enfin, ajoutez la route depuis le Réseau > Routes statiques > Créer Nouveau. Compilez-le avec la plage IP de Cato à laquelle vous souhaitez accéder via la connexion IPsec.
1. Pour créer le tunnel de secours, répétez le processus (1. Création de connexion IPsec avec une autre IP PoP Cato/2. Création de la Politique FW pour la nouvelle IPsec) et lors de l'arrivée à la phase de routage, définissez la priorité / distance administrative à un nombre plus élevé.
2. Configurer les paramètres de routage dynamique pour le site dans l'Application de Gestion Cato. Définissez les IP privées pour les tunnels principal et secondaire du site.
  
  Si vous voulez avoir un routage dynamique configuré dans votre environnement, vous devrez passer l'étape 4.
3. Configurer les paramètres BGP principaux et secondaires pour le site.
Configurer les paramètres de routage dynamique dans le GUI FortiGate.
1. Configurez chacune des interfaces avec Cato et les IP privées FortiGate et activez l'accès administratif Ping :
2. Allez à Réseau > BGP et créez deux nouveaux voisins en miroir avec la configuration de Cato :
3. Configurez le AS local avec les mêmes paramètres que l'application de gestion Cato :
4. Cliquez sur Sauvegarder .
  
  Vous verrez que les deux tunnels sont en place. Dans l'application de gestion Cato sous Configuration du site > BGP, le statut est Établi via connexion entrante sur les deux connexions IPsec :