यह लेख यह चर्चा करता है कि उच्च उपलब्धता (HA) कॉन्फ़िगरेशन में FortiGate उपकरणों के साथ IPsec साइट को Cato Cloud से कैसे कनेक्ट करें।
यह लेख मानता है कि आप एक ऐसे वातावरण में काम कर रहे हैं जहाँ FortiGate इंटरनेट से जुड़ा है और दो WAN लिंक हैं जिनसे हम दो Cato PoPs के लिए IPsec कनेक्शन बनाएंगे।
नेटवर्क > IP आवंटन में Cato प्रबंधन अनुप्रयोग से एक नया IP पता आवंटित करके (या एक पुराने का उपयोग करके) Cato PoP IP प्राप्त किया जा सकता है। हम अनुशंसा करते हैं कि आप साइट के सबसे नजदीक वाले PoP स्थान के लिए प्राथमिक IP चुनें और एक अलग PoP स्थान से द्वितीयक IP चुनें।
नोट: इस लेख की इस कॉन्फ़िगरेशन को फर्मवेयर संस्करण 7.0.8 के साथ परीक्षण किया गया था।
यह अनुभाग बताता है कि Cato-प्रारंभित रूटिंग के साथ Cato IPsec IKEv2 साइट के लिए FortiGate उपकरण कैसे कॉन्फ़िगर करें।
कृपया प्रशासक खाते के साथ अपने FortiGate उपकरण को एसएसएच के माध्यम से कनेक्ट करें।
FortiGate उपकरण को Cato-आरम्भित IKEv2 साइट से कनेक्ट करने के लिए कॉन्फ़िगर करें:
-
IPsec चरण 1 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase1-interface edit "CATO_IPSECV2-1" #[Primary VPN Name] set interface "wan1" #[Local FGT site network WAN interface] set ike-version 2 set keylife 19800 set peertype any set net-device disable set proposal aes256gcm-prfsha512 set comments "प्राथमिक VPN CATO क्लाउड XCATD01 को" set dhgrp 16 set remote-gw #[Cato POP 1 IP] set psksecret #[Primary Cato configured PSK] next end config vpn ipsec phase1-interface edit "CATO_IPSECV2-2" #[Secondary VPN Name] set interface "wan2" #[Secondary FGT site network WAN interface – if not available use the same WAN interface] set ike-version 2 set keylife 19800 set peertype any set net-device disable set proposal aes256gcm-prfsha512 set comments "द्वितीयक VPN CATO क्लाउड XCATD01 को" set dhgrp 16 set remote-gw #[Cato POP 2 IP] set psksecret #[Primary Cato configured PSK] next end -
IPsec चरण 2 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase2-interface edit "CATO_IPSECV2-1" #[VPN phase 2 Name] set phase1name "CATO_IPSECV2-1" #[VPN phase 1 Name] set proposal aes256gcm set dhgrp 16 set keylifeseconds 3600 next edit "CATO_IPSECV2-2" #[VPN phase 2 Name] set phase1name "CATO_IPSECV2-2" #[VPN phase 1 Name] set proposal aes256gcm set dhgrp 16 set keylifeseconds 3600 next end -
VPN टनल के माध्यम से ट्रैफ़िक को Cato Cloud तक रूट करें।
आप इसे स्थिर रूटिंग के साथ या बीजीपी का उपयोग करके गतिशील रूप से कर सकते हैं। इस उदाहरण में हम स्थिर रूटिंग का उपयोग कर रहे हैं।
config router static edit #[Local FGT unique route ID] set dst 172.101.0.0 255.255.255.0 #[Remote CATO Networks subnet] set distance 1 set device "CATO_IPSECV2-1" next edit #[Local FGT unique route ID] set dst 172.101.0.0 255.255.255.0 #[Remote CATO Networks subnet] set priority 10 set distance 1 set device "CATO_IPSECV2-2" next edit #[Local FGT unique route ID] set dst 172.101.0.0 255.255.255.0 #[otherwise send to black hole - Remote CATO Networks subnet] set blackhole enable set distance 254 next end -
(वैकल्पिक) एक क्षेत्र बनाएं, जो एक नया नियम बनाते समय या यदि आपको VPN नाम बदलने की आवश्यकता है तो इसे आसान बनाता है।
config system zone edit "Cato-Cloud-S2S" #[Zone name] set intrazone allow set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[the 2 IPSEC VPN’s] nextचेतावनी! इस क्षेत्र कॉन्फ़िगरेशन से FortiOS ऑपरेटिंग सिस्टम के कुछ संस्करणों पर समस्याएं हो सकती हैं।
-
ट्रैफिक को सुरंग के अंदर अनुमति देने वाले नियमों के साथ फ़ायरवॉल नीति को कॉन्फ़िगर करें।
config firewall policy edit #[Local FGT rule ID] set name "CATO Firewall" set srcintf "Virtual Lan" #[Local FGT site network interface] set dstintf "Cato-Cloud-S2S"#[Remote CATO Networks VPN zone or VPN interfaces] set action accept set srcaddr "all" #[Best practice – filter by local address / group] set dstaddr "all" #[Best practice – filter by CATO address / group] set schedule "always" set service "ALL" next end
यह अनुभाग बताता है कि FortiGate उपकरण को एक Cato IPsec IKEv1 साइट के लिए कैसे कॉन्फ़िगर किया जाए जहां रूटिंग FortiGate उपकरण द्वारा WAN ट्रैफिक के लिए डायनामिक सार्वजनिक IP पता समर्थन करने के लिए शुरू की जाती है।
नोट: इस लेख में इस कॉन्फ़िगरेशन का परीक्षण फर्मवेयर संस्करण 7.0.8 के साथ किया गया था।
FortiGate उपकरण को IKEv1 फ़ायरवॉल-आरम्भित साइट से कनेक्ट करने के लिए कॉन्फ़िगर करें:
-
IPsec चरण 1 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase1-interface edit "CATO_Cloud_M1" #[Primary VPN Name] set interface "wan1" #[Local FGT site network WAN interface] set keylife 19800 set mode aggressive set peertype any set net-device disable set proposal aes256-sha512 set localid ". " #[Set the local ID - You can get that from Site Configuration -> IPsec menu] set dhgrp 16 set remote-gw #[Cato pop primary IP] set psksecret #[Primary Cato configured PSK] next edit "CATO_Cloud_M2" #[Secondary VPN Name] set interface "wan2" #[Secondary FGT site network WAN interface – if not available use the same WAN interface] set keylife 19800 set mode aggressive set peertype any set net-device disable set proposal aes256-sha512 set localid " . " #[Set the local ID - You can get that from Site Configuration -> IPsec menu] set dhgrp 16 set remote-gw #[Cato pop secondary IP] set psksecret #[Secondary Cato configured PSK] next -
IPsec चरण 2 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase2-interface edit "CATO_Cloud_M1" #[VPN phase 2 Name] set phase1name "CATO_Cloud_M1" #[VPN phase 1 Name] set proposal aes256-sha256 set dhgrp 16 set auto-negotiate enable set comments "चरण2" set keylifeseconds 3600 next edit "CATO_Cloud_M2" #[VPN phase 2 Name] set phase1name "CATO_Cloud_M2" #[VPN phase 1 Name] set proposal aes256-sha256 set dhgrp 16 set auto-negotiate enable set comments "चरण2" set keylifeseconds 3600 next -
ट्रैफ़िक को VPN सुरंग के माध्यम से Cato क्लाउड की ओर ले जाएं।
आप इसे स्टेटिक रूटिंग के साथ या BGP का उपयोग करके गतिशील रूप से कर सकते हैं। इस उदाहरण में, हम स्टेटिक रूटिंग का उपयोग कर रहे हैं।
edit #[Local FGT unique route ID] set dst 10.254.254.0 255.255.255.0 #[Remote CATO Networks subnet] set distance 1 set device "CATO_Cloud_M1" next edit #[Local FGT unique route ID] set dst 10.254.254.0 255.255.255.0 #[Remote CATO Networks subnet] set distance 1 set priority 20 #[this will be the backup connection so a higher priority is needed] set device "CATO_Cloud_M2" next edit #[Local FGT unique route ID] set dst 10.254.254.0 255.255.255.0 #[otherwise send to black hole - Remote CATO Networks] set blackhole enable set distance 254 next -
(वैकल्पिक) एक क्षेत्र बनाएं, जो एक नया नियम बनाने या यदि आपको VPN नाम बदलने की आवश्यकता हो तो इसे आसान बनाता है।
config system zone edit "Cato-Cloud-Dial-up" #[Zone name] set intrazone allow set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[the 2 IPSEC VPN’s] nextचेतावनी! यह क्षेत्र कॉन्फ़िगरेशन कुछ FortiOS ऑपरेटिंग सिस्टम संस्करणों पर समस्याएं उत्पन्न कर सकता है।
-
फ़ायरवॉल नीति के नियमों को कॉन्फ़िगर करें जो सुरंग के अंदर ट्रैफ़िक की अनुमति देते हैं।
config firewall policy edit #[Local FGT rule ID] set name "CATO Firewall" set srcintf "Virtual Lan" #[Local FGT site network interface or interfaces] set dstintf "Cato-Cloud-Dial-up"#[Remote CATO Networks VPN zone or VPN interfaces] set action accept set srcaddr "all" #[Best practice – filter by local address / group] set dstaddr "all" #[Best practice – filter by CATO address / group] set schedule "always" set service "ALL" next end
यह अनुभाग बताता है कि WAN ट्रैफ़िक के लिए गतिशील सार्वजनिक IP पते का समर्थन करने के लिए Cato IPsec IKEv1 साइट के लिए FortiOS VS3 को कैसे कॉन्फ़िगर किया जाए।
FortiOS VS 3 को IPsec IKEv1 साइट से कनेक्ट करने के लिए कॉन्फ़िगर करें:
-
IPsec चरण 1 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase1 edit "Cato" set interface "wan1" set localid ". " #[Set the local ID - You can get that from Site Configuration -> IPsec menu] set nattraversal enable set proposal aes256-sha1 set keylife 86400 set mode aggressive set add-gw-route enable set remote-gw #[Cato PoP secondary IP] set psksecret #[Primary Cato configured PSK] next end -
IPsec चरण 2 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase2 edit "Cato" set keepalive enable set pfs enable set phase1name "Cato" set proposal aes256-sha1 set replay enable set keylifeseconds 3600 set src-subnet 10.230.230.0 255.255.255.0 next -
फ़ायरवॉल नियम कॉन्फ़िगर करें:
edit#[the firewall rule name] set srcintf "internal" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action ipsec set schedule "always" set service "ANY" set logtraffic enable set inbound enable set outbound enable set vpntunnel "Cato" next -
साइट के लिए रूटिंग कॉन्फ़िगर करें:
config router static edit X set device "Cato" #[the ipsec name] set dst 10.230.230.0 255.255.255.0 #[Remote CATO Networks subnet] next end config router static edit Y set blackhole enable set dst 10.230.230.0 255.255.255.0 #[Remote CATO Networks subnet] set distance 254 next end
इस अनुभाग में बताया गया है कि कैसे Cato IPsec IKEv2 केवल प्रतिसादक साइट के लिए FortiOS को कॉन्फ़िगर करना है ताकि WAN ट्रैफ़िक के लिए गतिशील सार्वजनिक IP पता का समर्थन किया जा सके। इस लेख का यह भाग एक रूट आधारित VPN कॉन्फ़िगरेशन की व्याख्या करता है।
यह कॉन्फ़िगरेशन FortiOS 6.0.X और FortiOS 7.0.X पर परीक्षण की गई थी।
पहली चीज़ जो करनी है वह है CMA में IKEv2 साइट बनाना और IPsec सेटिंग्स में कनेक्शन मोड को केवल प्रतिसादक के रूप में चुनें। इस तरह Cato कनेक्शन शुरू नहीं करेगा।
एक नया उप-मेनू दिखाई देगा जो आपको प्रमाणीकरण पहचानकर्ता का चयन करने का विकल्प देगा। KEY_ID विकल्प चुनने के लिए इंसर्ट थंबप्रिंट 40 अक्षरों का कोड इंसर्ट टीम पहचानकर्ता। सिस्टम आगे बढ़ेगा और इस फॉर्म में ए लोकल.आईडी उत्पन्न करेगा: [XXXXXXXX].[SiteID]। PSK और DH समूह को 16 पर कॉन्फ़िगर करें।
FortiOS के लिए IPsec सेटिंग्स का कॉन्फ़िगर करें:
-
IPsec चरण 1 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase1-interface संपादित करें "CATO_Cloud_MK21" #[प्राथमिक VPN नाम] सेट करें इंटरफ़ेस "wan1" #[स्थानीय FGT साइट नेटवर्क WAN इंटरफ़ेस] सेट करें ike-version 2 सेट करें keylife 19800 सेट करें peertype कोई भी सेट करें mode-cfg अक्षम किया गया सेट करें प्रस्ताव aes256gcm-prfsha512 सेट करें स्थानीयID "[XXXXXXXX].[साइटID]" #[स्थानीय आईडी सेट करें - आप इसे साइट कॉन्फ़िगरेशन -> IPsec मेनू से प्राप्त कर सकते हैं] सेट करें टिप्पणियाँ "प्राथमिक IPSEC 2 Cato FW द्वारा शुरू" सेट करें dhgrp 16 सेट करें nattraversal forced सेट करें remote-gw #[Cato PoP प्राथमिक IP] सेट करें psksecret #[प्राथमिक Cato कॉन्फ़िगर किया गया PSK] अगला संपादित करें "CATO_Cloud_MK22" #[द्वितीयक VPN नाम] सेट करें इंटरफ़ेस "wan2" #[द्वितीयक FGT साइट नेटवर्क WAN इंटरफ़ेस - यदि उपलब्ध नहीं है तो वही WAN इंटरफ़ेस का उपयोग करें सेट करें ike-version 2 सेट करें keylife 19800 सेट करें peertype कोई भी सेट करें mode-cfg अक्षम किया गया सेट करें प्रस्ताव aes256gcm-prfsha512 सेट करें स्थानीयID "[XXXXXXXX].[साइटID]" #[स्थानीय आईडी सेट करें - आप इसे साइट कॉन्फ़िगरेशन -> IPsec मेनू से प्राप्त कर सकते हैं] सेट करें टिप्पणियाँ "द्वितीयक IPSEC 2 Cato FW द्वारा शुरू किया गया बैकअप" सेट करें dhgrp 16 सेट करें remote-gw #[Cato PoP द्वितीयक IP] सेट करें psksecret #[द्वितीयक Cato कॉन्फ़िगर किया गया PSK] अगला -
IPsec चरण 2 को परिभाषित करने के लिए सेटिंग्स दर्ज करें:
config vpn ipsec phase2-interface edit "CATO_Cloud_MK22" #[VPN phase 2 Name] set phase1name "CATO_Cloud_MK22" #[VPN phase 1 Name] set proposal aes256-sha512 set dhgrp 16 set auto-negotiate enable set keylifeseconds 3600 next edit "CATO_Cloud_MK21" #[VPN phase 2 Name] set phase1name "CATO_Cloud_MK21" #[VPN phase 1 Name] set proposal aes256-sha512 set dhgrp 16 set auto-negotiate enable set keylifeseconds 3600 next -
Cato Cloud के लिए VPN टनल के माध्यम से ट्रैफ़िक को रूट करें:
config router static edit X #[Local FGT unique route ID] set dst 10.254.254.0 255.255.255.0 #[Remote Cato Networks subnet – replace as you see fit] set device "CATO_Cloud_MK21" next edit Y #[Local FGT unique route ID] set dst 10.254.254.0 255.255.255.0 #[Remote Cato Networks subnet – replace as you see fit] set priority 10 #[this will be the backup connection so a higher priority is needed] set device "CATO_Cloud_MK22" next edit Z #[Local FGT unique route ID] set dst 10.254.254.0 255.255.255.0 #[otherwise send to black hole - Remote Cato Networks] set distance 254 set blackhole enable next -
फायरवॉल नीति को टनल के अंदर ट्रैफ़िक की अनुमति देने वाले नियमों के साथ कॉन्फ़िगर करें।
config firewall policy edit #[Local FGT rule ID] set name "From_Cato_Primary_IPsec" set srcintf "CATO_Cloud_MK21" #[Remote Cato Networks VPN zone or VPN interfaces] set dstintf "internal_LAN" #[Local FGT site network interface or interfaces] set srcaddr "all" #[Best practice – filter by Cato address / group] set dstaddr "all" #[Best practice – filter by local address / group] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[Not needed in newer FortiOS versions] set comments "प्राथमिक IPSec से Cato से ट्रैफ़िक" next edit #[Local FGT rule ID] set name "To_Cato_Primary_IPsec" set srcintf "internal_LAN" #[Local FGT site network interface or interfaces] set dstintf "CATO_Cloud_MK21" #[Remote Cato Networks VPN zone or VPN interfaces] set srcaddr "all" #[Best practice – filter by local address / group] set dstaddr "all" #[Best practice – filter by Cato address / group] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[Not needed in newer FortiOS versions] set comments "स्थानीय नेटवर्क से Cato प्राथमिक IPSec को ट्रैफ़िक" next edit #[Local FGT rule ID] set name "From_Cato_Secondary_IPsec" set srcintf "CATO_Cloud_MK22" #[Remote Cato Networks VPN zone or VPN interfaces] set dstintf "internal_LAN" #[Local FGT site network interface or interfaces] set srcaddr "all" #[Best practice – filter by Cato address / group] set dstaddr "all" #[Best practice – filter by local address / group] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[Not needed in newer FortiOS versions] set comments "द्वितीयक IPSec से Cato से ट्रैफ़िक" next edit #[Local FGT rule ID] set name "To_Cato_Secondary_IPsec" set srcintf "internal_LAN" #[Local FGT site network interface or interfaces] set dstintf "CATO_Cloud_MK22" #[Remote Cato Networks VPN zone or VPN interfaces] set srcaddr "all" #[Best practice – filter by local address / group] set dstaddr "all" #[Best practice – filter by Cato address / group] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[Not needed in newer FortiOS versions] set comments "स्थानीय नेटवर्क से Cato द्वितीयक IPSec को ट्रैफ़िक" next end
FortiOS को GUI के माध्यम से IPsec IKEv2 FW-आरम्भित साइट से कनेक्ट करने के लिए कॉन्फ़िगर करें:
- FortiOS IPsec सेटिंग्स का कॉन्फ़िगरेशन:
-
VPN > IPsec Wizard पर जाएं, और VPN का नाम दर्ज करें और टेम्पलेट नाम चुनें – कस्टम। अगला पर क्लिक करें।
-
अगले स्क्रीन में नीचे के अनुसार कॉन्फ़िगर करें:
-
-
फ़ायरवॉल नीति सेटिंग्स को विन्यस्त करें:
Cato IPsec साइट से और साइट के लिए ट्रैफ़िक की अनुमति देने के लिए एक फ़ायरवॉल नीति बनाएँ। नीति > वस्तुएं > फ़ायरवॉल नीति पर जाएं और नया बनाएँ पर क्लिक करें। हम सुझाव देते हैं कि सभी FW नेटवर्क्स से सभी ट्रैफ़िक की अनुमति दें लेकिन आप स्रोत / गंतव्य / सेवाएँ अपने अनुसार चुन सकते हैं।
नोट: सामान्यतः आपको अपने ट्रैफ़िक को NAT करने की आवश्यकता नहीं होती।
-
स्थैतिक मार्गों को कॉन्फ़िगर करें:
अंत में, नेटवर्क > स्थैतिक मार्ग > नया बनाएँ से मार्ग जोड़ें। IPsec कनेक्शन के माध्यम से एक्सेस करने के लिए इच्छित Cato IP रेंज के साथ इसे संकलित करें।
- बैकअप टनल बनाने के लिए प्रक्रिया (1 को दोहराएं। विभिन्न Cato PoP IP के साथ IPsec कनेक्शन सृजन / 2। नए IPsec के लिए FW नीति सृजन) और जब रूटिंग चरण पर पहुंचें तो प्राथमिकता / प्रशासनिक दूरी को अधिक संख्या पर सेट करें।
-
Cato प्रबंधन एप्लिकेशन में साइट के लिए गतिशील रूटिंग सेटिंग्स कॉन्फ़िगर करें। साइट के प्राथमिक और द्वितीयक टनल के लिए निजी आईपी को परिभाषित करें।
यदि आप अपने परिवेश में गतिशील रूटिंग कॉन्फ़िगर करना चाहते हैं, तो आपको चरण 4 को छोड़ना होगा।
-
साइट के लिए प्राथमिक और द्वितीयक BGP सेटिंग्स कॉन्फ़िगर करें।
- FortiGate GUI में गतिशील रूटिंग सेटिंग्स का कॉन्फ़िगरेशन करें।
-
प्रत्येक इंटरफ़ेस को Cato और FortiGate निजी आईपी के साथ कॉन्फ़िगर करें और Ping प्रशासनिक पहुँच सक्रिय करें:
-
नेटवर्क > BGP में जाएं और Cato कॉन्फ़िगरेशन को मिरर करके दो नए पड़ोसी बनाएँ:
-
स्थानीय AS को Cato प्रबंधन अनुप्रयोग के समान सेटिंग्स के साथ कॉन्फ़िगर करें:
-
क्लिक करें सहेजें ।
आप दोनों टनल को Cato प्रबंधन अनुप्रयोग में साइट कॉन्फ़िगरेशन > BGP में चालू देखते हैं, स्थिति दोनों IPsec कनेक्शनों पर आने वाले कनेक्शन के माध्यम से स्थापित किया गया है:
-
0 टिप्पणियां
कृपया टिप्पणी करने के लिए साइन इन करें करें.