이 문서에서는 고가용성(HA) 구성에서 FortiGate 장치를 사용하여 IPsec 사이트를 Cato Cloud에 연결하는 방법을 설명합니다.
이 문서에서는 인터넷에 두 WAN 링크로 연결된 환경에서 FortiGate와 함께 작업 중이며, 두 개의 Cato PoP에 IPsec 연결을 구축할 예정이라고 가정합니다.
Cato PoP IP는 네트워크 > IP 할당의 Cato 관리 애플리케이션에서 새 IP 주소를 할당받거나 기존 IP 주소를 사용할 수 있습니다. 사이트에 가장 근접한 PoP 위치의 기본 IP와 다른 PoP 위치의 보조 IP를 선택하는 것을 권장합니다.
참고: 이 문서의 구성은 펌웨어 버전 7.0.8로 테스트되었습니다.
이 섹션에서는 Cato 발췌 라우팅을 사용하는 Cato IPsec IKEv2 사이트에 대해 FortiGate 기기를 구성하는 방법을 설명합니다.
관리자 계정으로 FortiGate 기기에 SSH로 연결하세요.
IKEv2 Cato 시작 사이트에 연결하기 위해 FortiGate 장치를 구성하려면:
-
IPsec 단계 1을 정의하기 위해 설정을 입력하세요:
config vpn ipsec phase1-interface edit "CATO_IPSECV2-1" #[기본 VPN 이름] set interface "wan1" #[로컬 FGT 사이트 네트워크 WAN 인터페이스] set ike-version 2 set keylife 19800 set peertype any set net-device disable set proposal aes256gcm-prfsha512 set comments "기본 VPN CATO 클라우드 XCATD01" set dhgrp 16 set remote-gw #[Cato POP 1 IP] set psksecret #[기본 Cato 설정 PSK] 다음 끝 config vpn ipsec phase1-interface edit "CATO_IPSECV2-2" #[보조 VPN 이름] set interface "wan2" #[보조 FGT 사이트 네트워크 WAN 인터페이스 - 사용 가능하지 않은 경우 동일한 WAN 인터페이스 사용] set ike-version 2 set keylife 19800 set peertype any set net-device disable set proposal aes256gcm-prfsha512 set comments "보조 VPN CATO 클라우드 XCATD01" set dhgrp 16 set remote-gw #[Cato POP 2 IP] set psksecret #[기본 Cato 설정 PSK] 다음 끝 -
IPsec 단계 2를 정의하기 위해 설정을 입력하세요:
config vpn ipsec phase2-interface edit "CATO_IPSECV2-1" #[VPN 단계 2 이름] set phase1name "CATO_IPSECV2-1" #[VPN 단계 1 이름] set proposal aes256gcm set dhgrp 16 set keylifeseconds 3600 다음 edit "CATO_IPSECV2-2" #[VPN 단계 2 이름] set phase1name "CATO_IPSECV2-2" #[VPN 단계 1 이름] set proposal aes256gcm set dhgrp 16 set keylifeseconds 3600 다음 끝 -
VPN 터널을 통해 Cato Cloud로 트래픽을 라우팅하십시오.
정적 라우팅을 사용하거나 BGP를 사용하여 동적으로 수행할 수 있습니다. 이 예제에서는 정적 라우팅을 사용하고 있습니다.
config router static edit #[로컬 FGT 고유 경로 ID] set dst 172.101.0.0 255.255.255.0 #[원격 CATO 네트워크 서브넷] set distance 1 set device "CATO_IPSECV2-1" 다음 edit #[로컬 FGT 고유 경로 ID] set dst 172.101.0.0 255.255.255.0 #[원격 CATO 네트워크 서브넷] set priority 10 set distance 1 set device "CATO_IPSECV2-2" 다음 edit #[로컬 FGT 고유 경로 ID] set dst 172.101.0.0 255.255.255.0 #[그렇지 않으면 블랙홀로 전송- 원격 CATO 네트워크 서브넷] set blackhole enable set distance 254 다음 끝 -
(선택 사항) 영역을 생성하세요. 이렇게 하면 새 규칙을 만들거나 VPN 이름을 변경해야 할 때 더욱 쉽게 작업할 수 있습니다.
config system zone edit "Cato-Cloud-S2S" #[영역 이름] set intrazone allow set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[2개의 IPSEC VPN] 다음경고! 이 영역 구성은 일부 FortiOS 운영 체제 버전에서 문제를 일으킬 수 있습니다.
-
터널 내에서 트래픽을 허용하는 규칙으로 방화벽 정책을 구성합니다.
config firewall policy edit #[로컬 FGT 규칙 ID] set name "CATO Firewall" set srcintf "Virtual Lan" #[로컬 FGT 사이트 네트워크 인터페이스] set dstintf "Cato-Cloud-S2S"#[원격 CATO 네트워크 VPN 영역 또는 VPN 인터페이스] set action accept set srcaddr "all" #[최고 관행 - 로컬 주소/그룹 필터] set dstaddr "all" #[최고 관행 - CATO 주소/그룹 필터] set schedule "always" set service "ALL" 다음 끝
이 섹션은 FortiGate 장치가 WAN 트래픽의 동적 공용 IP 주소를 지원하기 위해 라우팅을 FortiGate 장치에서 시작하는 Cato IPsec IKEv1 사이트로 구성하는 방법을 설명합니다.
참고: 이 문서의 구성은 펌웨어 버전 7.0.8로 테스트되었습니다.
IKEv1 방화벽 시작 사이트에 연결하기 위해 FortiGate 장치를 구성하려면:
-
IPsec 단계 1을 정의하기 위한 설정 입력:
config vpn ipsec phase1-interface edit "CATO_Cloud_M1" #[기본 VPN 이름] set interface "wan1" #[로컬 FGT 사이트 네트워크 WAN 인터페이스] set keylife 19800 set mode aggressive set peertype any set net-device disable set proposal aes256-sha512 set localid "<사이트_이름>.<계정_이름>" #[로컬 ID 설정 - 사이트 구성 - IPsec 메뉴에서 얻을 수 있습니다] set dhgrp 16 set remote-gw #[Cato pop 기본 IP] set psksecret #[기본 Cato 설정 PSK] 다음 edit "CATO_Cloud_M2" #[보조 VPN 이름] set interface "wan2" #[보조 FGT 사이트 네트워크 WAN 인터페이스 - 사용 가능하지 않은 경우 동일한 WAN 인터페이스 사용] set keylife 19800 set mode aggressive set peertype any set net-device disable set proposal aes256-sha512 set localid "<사이트_이름>.<계정_이름>" #[로컬 ID 설정 - 사이트 구성 - IPsec 메뉴에서 얻을 수 있습니다] set dhgrp 16 set remote-gw #[Cato pop 보조 IP] set psksecret #[보조 Cato 설정 PSK] 다음 -
IPsec 단계 2를 정의하기 위한 설정 입력:
config vpn ipsec phase2-interface edit "CATO_Cloud_M1" #[VPN 단계 2 이름] set phase1name "CATO_Cloud_M1" #[VPN 단계 1 이름] set proposal aes256-sha256 set dhgrp 16 set auto-negotiate enable set comments "단계2" set keylifeseconds 3600 다음 edit "CATO_Cloud_M2" #[VPN 단계 2 이름] set phase1name "CATO_Cloud_M2" #[VPN 단계 1 이름] set proposal aes256-sha256 set dhgrp 16 set auto-negotiate enable set comments "단계2" set keylifeseconds 3600 다음 -
Cato Cloud로 VPN 터널을 통해 트래픽을 라우팅합니다.
정적 라우팅 또는 BGP를 사용하여 동적으로 이 작업을 할 수 있습니다. 이 예에서는 정적 라우팅을 사용하고 있습니다.
edit #[로컬 FGT 고유 경로 ID] set dst 10.254.254.0 255.255.255.0 #[원격 CATO 네트워크 서브넷] set distance 1 set device "CATO_Cloud_M1" 다음 edit #[로컬 FGT 고유 경로 ID] set dst 10.254.254.0 255.255.255.0 #[원격 CATO 네트워크 서브넷] set distance 1 set priority 20 #[이것은 백업 연결이므로 더 높은 우선순위가 필요합니다] set device "CATO_Cloud_M2" 다음 edit #[로컬 FGT 고유 경로 ID] set dst 10.254.254.0 255.255.255.0 #[그렇지 않으면 블랙홀로 전송- 원격 CATO 네트워크] set blackhole enable set distance 254 다음 -
(선택사항) 새 규칙을 생성하거나 VPN 이름을 변경해야 할 때 더 쉽게 하기 위해 영역을 생성하세요.
config system zone edit "Cato-Cloud-Dial-up" #[영역 이름] set intrazone allow set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[2개의 IPSEC VPN] 다음경고! 이 영역 구성은 일부 FortiOS 운영 체제 버전에서 문제가 발생할 수 있습니다.
-
터널 내부의 트래픽을 허용하는 규칙으로 방화벽 정책을 구성하세요.
config firewall policy edit #[로컬 FGT 규칙 ID] set name "CATO Firewall" set srcintf "Virtual Lan" #[로컬 FGT 사이트 네트워크 인터페이스 또는 인터페이스] set dstintf "Cato-Cloud-Dial-up"#[원격 CATO 네트워크 VPN 영역 또는 VPN 인터페이스] set action accept set srcaddr "all" #[최고 관행 - 로컬 주소/그룹 필터] set dstaddr "all" #[최고 관행 - CATO 주소/그룹 필터] set schedule "always" set service "ALL" 다음 끝
이 섹션에서는 Cato IPsec IKEv1 사이트에 대해 FortiOS VS3를 구성하여 WAN 트래픽에 대한 동적 공인 IP 주소를 지원하는 방법을 설명합니다.
IPsec IKEv1 사이트에 연결하기 위해 FortiOS VS 3을 구성하려면:
-
단계 1을 정의하기 위한 설정 입력:
config vpn ipsec phase1 edit "Cato" set interface "wan1" set localid "<사이트_이름>.<계정_이름>" #[로컬 ID 설정 - 사이트 구성 - IPsec 메뉴에서 얻을 수 있습니다] set nattraversal enable set proposal aes256-sha1 set keylife 86400 set mode aggressive set add-gw-route enable set remote-gw#[Cato PoP 보조 IP] set psksecret #[기본 Cato 설정 PSK] 다음 끝 -
단계 2를 정의하기 위한 설정 입력:
config vpn ipsec phase2 edit "Cato" set keepalive enable set pfs enable set phase1name "Cato" set proposal aes256-sha1 set replay enable set keylifeseconds 3600 set src-subnet 10.230.230.0 255.255.255.0 다음 -
방화벽 규칙을 구성하세요:
edit <이름> #[방화벽 규칙 이름] set srcintf "internal" set dstintf "wan1" set srcaddr "all" set dstaddr "all" set action ipsec set schedule "always" set service "ANY" set logtraffic enable set inbound enable set outbound enable set vpntunnel "Cato" 다음 -
사이트에 대한 라우팅을 구성하세요:
config router static edit X set device "Cato” #[ipsec 이름] set dst 10.230.230.0 255.255.255.0 #[원격 CATO 네트워크 서브넷] 다음 끝 config router static edit Y set blackhole enable set dst 10.230.230.0 255.255.255.0 #[원격 CATO 네트워크 서브넷] set distance 254 다음 끝
이 섹션에서는 FortiOS를 Cato IPsec IKEv2 응답자 전용 사이트로 구성하여 WAN 트래픽에 대한 동적 공인 IP 주소를 지원하는 방법을 설명합니다. 이 기사 부분에서는 라우트 기반 VPN 구성을 설명합니다.
이 구성은 FortiOS 6.0.X 및 FortiOS 7.0.X에서 테스트되었습니다.
첫 번째로 해야 할 일은 CMA에서 IKEv2 사이트를 생성하고 IPsec 설정에서 연결 모드를 응답자만으로 선택하는 것입니다. 이렇게 하면 Cato는 연결을 시작하지 않습니다.
인증 식별자를 선택할 수 있는 새 하위 메뉴가 나타납니다. 여기서 KEY_ID 옵션을 선택합니다. 시스템은 계속 진행하여 다음 형식으로 로컬 ID를 생성합니다: [XXXXXXXX].[SiteID]. 사전 공유 키와 DH 그룹을 16으로 구성합니다.
FortiOS의 IPsec 설정을 구성하려면:
-
IPsec 단계 1을 정의하는 설정을 입력합니다:
config vpn ipsec phase1-interface 편집 "CATO_Cloud_MK21" #[기본 VPN 이름] 설정 인터페이스 "wan1" #[로컬 FGT 사이트 네트워크 WAN 인터페이스] 설정 ike-version 2 설정 keylife 19800 설정 peertype 모든 설정 mode-cfg 비활성화됨 설정 proposal aes256gcm-prfsha512 설정 로컬 ID "[XXXXXXXX].[사이트 ID]" #[사이트 설정 -> IPsec 메뉴에서 로컬 ID를 설정할 수 있습니다] 설정 댓글 "기본 IPSEC 2 Cato FW 시작됨" 설정 dhgrp 16 설정 nattraversal forced 설정 remote-gw #[Cato PoP 기본 IP] 설정 사전 공유 키 #[기본 Cato 활성화됨 PSK] next 편집 "CATO_Cloud_MK22" #[보조 VPN 이름] 설정 인터페이스 "wan2" #[보조 FGT 사이트 네트워크 WAN 인터페이스 – 사용 불가능한 경우 동일한 WAN 인터페이스를 사용 설정 ike-version 2 설정 keylife 19800 설정 peertype 모든 설정 mode-cfg 비활성화됨 설정 proposal aes256gcm-prfsha512 설정 로컬 ID "[XXXXXXXX].[사이트 ID]" #[사이트 설정 -> IPsec 메뉴에서 로컬 ID를 설정할 수 있습니다] 설정 댓글 "보조 IPSEC 2 Cato FW 시작됨 백업" 설정 dhgrp 16 설정 remote-gw #[Cato PoP 보조 IP] 설정 사전 공유 키 #[보조 Cato 활성화됨 PSK] next -
IPsec 단계 2를 정의하는 설정을 입력합니다:
config vpn ipsec phase2-interface edit "CATO_Cloud_MK22" #[VPN 단계 2 이름] set phase1name "CATO_Cloud_MK22" #[VPN 단계 1 이름] set proposal aes256-sha512 set dhgrp 16 set auto-negotiate enable set keylifeseconds 3600 다음 edit "CATO_Cloud_MK21" #[VPN 단계 2 이름] set phase1name "CATO_Cloud_MK21" #[VPN 단계 1 이름] set proposal aes256-sha512 set dhgrp 16 set auto-negotiate enable set keylifeseconds 3600 다음 -
VPN 터널을 통해 Cato Cloud로 트래픽을 라우팅합니다:
config router static edit X #[로컬 FGT 고유 경로 ID] set dst 10.254.254.0 255.255.255.0 #[원격 Cato 네트워크 서브넷 - 적절하다고 보는 대로 교체] set device "CATO_Cloud_MK21" 다음 edit Y #[로컬 FGT 고유 경로 ID] set dst 10.254.254.0 255.255.255.0 #[원격 Cato 네트워크 서브넷 - 적절하다고 보는 대로 교체] set priority 10 #[이것은 백업 연결이므로 더 높은 우선순위가 필요합니다] set device "CATO_Cloud_MK22" 다음 edit Z #[로컬 FGT 고유 경로 ID] set dst 10.254.254.0 255.255.255.0 #[그렇지 않으면 블랙홀로 전송- 원격 Cato 네트워크] set distance 254 set blackhole enable 다음 -
터널 내부의 트래픽을 허용하는 규칙으로 방화벽 정책을 구성합니다.
config firewall policy edit #[로컬 FGT 규칙 ID] set name "From_Cato_Primary_IPsec" set srcintf "CATO_Cloud_MK21" #[원격 Cato 네트워크 VPN 영역 또는 VPN 인터페이스] set dstintf "internal_LAN" #[로컬 FGT 사이트 네트워크 인터페이스 또는 인터페이스] set srcaddr "all" #[최고 관행 - Cato 주소/그룹 필터] set dstaddr "all" #[최고 관행 - 로컬 주소/그룹 필터] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[새로운 FortiOS 버전에서는 필요 없음] set comments "트래픽 The_Cato 기본 IPSec" 다음 edit #[로컬 FGT 규칙 ID] set name "To_Cato_Primary_IPsec" set srcintf "internal_LAN" #[로컬 FGT 사이트 네트워크 인터페이스 또는 인터페이스] set dstintf "CATO_Cloud_MK21" #[원격 Cato 네트워크 VPN 영역 또는 VPN 인터페이스] set srcaddr "all" #[최고 관행 - 로컬 주소/그룹 필터] set dstaddr "all" #[최고 관행 - Cato 주소/그룹 필터] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[새로운 FortiOS 버전에서는 필요 없음] set comments "트래픽 지역 네트워크 To_Cato 기본 IPSec" 다음 edit #[로컬 FGT 규칙 ID] set name "From_Cato_Secondary_IPsec" set srcintf "CATO_Cloud_MK22" #[원격 Cato 네트워크 VPN 영역 또는 VPN 인터페이스] set dstintf "internal_LAN" #[로컬 FGT 사이트 네트워크 인터페이스 또는 인터페이스] set srcaddr "all" #[최고 관행 - Cato 주소/그룹 필터] set dstaddr "all" #[최고 관행 - 로컬 주소/그룹 필터] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[새로운 FortiOS 버전에서는 필요 없음] set comments "트래픽 The_Cato 보조 IPSec" 다음 edit #[로컬 FGT 규칙 ID] set name "To_Cato_Secondary_IPsec" set srcintf "internal_LAN" #[로컬 FGT 사이트 네트워크 인터페이스 또는 인터페이스] set dstintf "CATO_Cloud_MK22" #[원격 Cato 네트워크 VPN 영역 또는 VPN 인터페이스] set srcaddr "all" #[최고 관행 - 로컬 주소/그룹 필터] set dstaddr "all" #[최고 관행 - Cato 주소/그룹 필터] set action accept set schedule "always" set service "ALL" set logtraffic all set fsso disable #[새로운 FortiOS 버전에서는 필요 없음] set comments "트래픽 지역 네트워크 To_Cato 보조 IPSec" 다음 끝
GUI를 통해 IPsec IKEv2 FW 시작 사이트에 연결하기 위해 FortiOS를 구성하려면:
- FortiOS IPsec 설정 구성:
-
VPN > IPsec 마법사로 이동하여 VPN 이름을 입력하고 템플릿 이름을 선택하십시오 – 사용자 정의. 다음을 클릭하십시오.
-
다음 화면에서 아래와 같이 구성하십시오:
-
-
방화벽 정책 설정 구성:
Cato IPsec 사이트로부터의 트래픽을 허용하는 방화벽 정책을 생성하십시오. 정책 > 객체 > 방화벽 정책으로 이동하고 새로 만들기를 클릭하십시오. 모든 네트워크에서 모든 트래픽을 허용하는 것을 권장하지만 소스 / 목적지 / 서비스를 선호하는 대로 선택할 수 있습니다.
참고: 보통 트래픽에 대해 NAT를 할 필요가 없습니다.
-
정적 라우트 구성:
마지막으로, 네트워크 > 정적 라우트 > 새로 만들기에서 경로를 추가하십시오. IPsec 연결을 통해 액세스하려는 Cato IP 범위로 컴파일하십시오.
- 백업 터널을 생성하려면 프로세스를 반복하십시오 (1. IPsec 연결 생성 다른 Cato PoP IP 사용 / 2. FW 정책 생성 새로운 IPsec에 대해) 그리고 라우팅 단계에 도달했을 때 우선순위 / 관리 거리 설정 더 높은 숫자로.
-
Cato 관리 애플리케이션에서 사이트에 대한 동적 라우팅 설정을 구성하다. 사이트의 기본 및 보조 터널에 대한 개인 IP들 정의.
환경에 동적 라우팅을 구성하려면 4단계를 건너뛰기 해야 합니다.
-
사이트에 대한 기본 및 보조 BGP 설정 구성하십시오.
- FortiGate GUI에서 동적 라우팅 설정 구성.
-
Cato 및 FortiGate 개인 IP들과 함께 각 인터페이스를 구성하고 Ping 관리 접근을 활성화하다:
-
네트워크 > BGP로 이동하여 Cato 구성을 반영하는 새로운 이웃 두 개를 생성하다:
-
Cato 관리 애플리케이션과 같은 설정으로 로컬 AS를 구성하다:
-
저장 을 클릭하십시오.
Cato 관리 애플리케이션의 사이트 설정 > BGP에서 두 터널 모두 연결된 상태로 볼 수 있으며, 양쪽 IPsec 연결에 대해 상태가 수신 연결을 통해 설정됨:
-
댓글 0개
댓글을 남기려면 로그인하세요.