Cato Cloud para FortiGate via Túneis HA IPSec

Este artigo discute como conectar um site IPsec com dispositivos FortiGate em uma configuração de Alta Disponibilidade (HA) ao Cato Cloud.

Visão geral de Cato para FortiGate VPN com Locais IPsec

Este artigo assume que você está trabalhando em um ambiente com um FortiGate conectado à Internet com dois links WAN, onde iremos construir as conexões IPsec para dois PoPs do Cato.

imagem.png

O IP do PoP do Cato pode ser obtido alocando um novo endereço IP (ou usando um antigo) a partir do Aplicativo de Gerenciamento Cato em Rede > Alocação de IP. Recomendamos que escolha o IP principal para a localização do PoP mais próxima do site e o IP secundário de uma localização diferente do PoP.

Nota: Esta configuração neste artigo foi testada com a versão do firmware 7.0.8.

IKEv2 com Site Iniciado pelo Cato - Configurando o Appliance FortiGate (CLI)

Esta seção explica como configurar o appliance FortiGate para um site IPsec IKEv2 Cato com roteamento iniciado pelo Cato.

Por favor, conecte-se via SSH ao seu appliance FortiGate com uma conta de administrador.

Para configurar o appliance FortiGate para conectar a um site iniciado pelo IKEv2 Cato:

  1. Digite as configurações para definir a fase 1 do IPsec:

    config vpn ipsec phase1-interface
    edit “CATO_IPSECV2-1” #[Nome do VPN Primário]
        set interface "wan1"  #[Interface WAN da rede local do site FGT]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments “VPN Primário Para CATO Cloud XCATD01”
        set dhgrp 16
        set remote-gw #[Cato POP 1 IP]
        set psksecret  #[Chave Pré-Compartilhada (PSK) configurada na Cato Primária]
    next
end

config vpn ipsec phase1-interface
    edit “CATO_IPSECV2-2” #[Nome do VPN Secundário]
        set interface "wan2" #[Interface WAN da rede do site FGT Secundário – se não disponível use a mesma interface WAN]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments “VPN Secundário Para CATO Cloud XCATD01”
        set dhgrp 16
        set remote-gw #[Cato POP 2 IP]
        set psksecret #[Chave Pré-Compartilhada (PSK) configurada na Cato Primária]
     next
end

  2. Digite as configurações para definir a fase 2 do IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_IPSECV2-1" #[Nome do Fase 2 VPN]
        set phase1name "CATO_IPSECV2-1" #[Nome do Fase 1 VPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
    edit "CATO_IPSECV2-2” #[Nome do Fase 2 VPN]
        set phase1name "CATO_IPSECV2-2” #[Nome do Fase 1 VPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
end

  3. Roteie o tráfego através do túnel VPN para o Cato Cloud.

    Você pode fazer isso com roteamento estático ou dinamicamente usando BGP. Neste exemplo, estamos usando roteamento estático.

    config router static
   edit #[ID de rota exclusiva FGT Local]
        set dst 172.101.0.0 255.255.255.0 #[Sub-rede de Redes CATO Remotas]
        set distance 1
        set device "CATO_IPSECV2-1"
    next
   edit #[ID de rota exclusiva FGT Local]
        set dst 172.101.0.0 255.255.255.0 #[Sub-rede de Redes CATO Remotas]
        set priority 10
        set distance 1
        set device "CATO_IPSECV2-2”
    next
    edit #[ID de rota exclusiva FGT Local]
        set dst 172.101.0.0 255.255.255.0 #[caso contrário enviar para black hole - Sub-rede de Redes CATO Remotas]
        set blackhole enable
        set distance 254
    next
end

  4. (Opcional) Crie uma zona, o que facilita ao criar uma nova regra ou se precisar alterar os nomes das VPNs.

    config system zone
    edit "Cato-Cloud-S2S" #[Nome da Zona]
        set intrazone allow
        set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[os 2 VPN IPSEC]
    next

    Aviso! Esta configuração de zona pode causar problemas em algumas versões do sistema operacional FortiOS.

  5. Configure a política do firewall com regras que permitam o tráfego dentro do túnel.

    config firewall policy
    edit #[ID da regra FGT Local]
        set name “CATO Firewall”
        set srcintf "Virtual Lan" #[Interface ou interfaces de rede do site FGT Local]
        set dstintf "Cato-Cloud-S2S"#[Zona VPN ou interfaces VPN de Redes CATO Remotas]
        set action accept
        set srcaddr "all" #[Melhores práticas – filtro por endereço/grupo local]
        set dstaddr "all" #[Melhores práticas – filtro por endereço/grupo CATO]
        set schedule "always"
        set service "ALL"
    next
end

IKEv1 Agressivo (Site Iniciado pelo Firewall) - Configurando o Appliance FortiGate (CLI)

Esta seção explica como configurar o appliance FortiGate para um site IPsec IKEv1 Cato onde o roteamento é iniciado pelo appliance FortiGate para suportar endereço IP público dinâmico para tráfego WAN.

Nota: Esta configuração neste artigo foi testada com a versão do firmware 7.0.8.

Para configurar o appliance FortiGate para conectar a um site iniciado pelo Firewall IKEv1:

  1. Digite as configurações para definir a fase 1 do IPsec:

    config vpn ipsec phase1-interface
edit "CATO_Cloud_M1" #[Nome do VPN Primário]
        set interface "wan1" #[Interface WAN da rede local do site FGT]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "<site_name>.<acc_name>" #[Defina o ID Local - Você pode obter isso na Configurações do Site -> menu IPsec]
        set dhgrp 16
        set remote-gw  #[IP do PoP Cato primário]
        set psksecret #[Chave Pré-Compartilhada (PSK) configurada na Cato Primária]
next
edit "CATO_Cloud_M2" #[Nome do VPN Secundário]
        set interface "wan2" #[Interface WAN da rede do site FGT Secundário – se não disponível use a mesma interface WAN]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "<site_name>.<acc_name>" #[Defina o ID Local - Você pode obter isso na Configurações do Site -> menu IPsec]
        set dhgrp 16
        set remote-gw  #[IP do PoP Cato secundário]
        set psksecret #[Chave Pré-Compartilhada (PSK) configurada na Cato Secundária]
next

  2. Insira as configurações para definir a Fase 2 do IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_Cloud_M1" #[Nome do Fase 2 VPN]
        set phase1name "CATO_Cloud_M1" #[Nome do Fase 1 VPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Fase2"
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_M2" #[Nome do Fase 2 VPN]
        set phase1name "CATO_Cloud_M2" #[Nome do Fase 1 VPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Fase2"
        set keylifeseconds 3600
    next

  3. Roteie o tráfego através do túnel VPN para a Cato Cloud.

    Você pode fazer isso com roteamento estático ou dinamicamente usando BGP. Neste exemplo, estamos usando roteamento estático.

    edit #[ID de rota exclusiva FGT Local]
        set dst 10.254.254.0 255.255.255.0  #[Sub-rede de Redes CATO Remotas]
        set distance 1
        set device "CATO_Cloud_M1"

next
edit #[ID de rota exclusiva FGT Local]
        set dst 10.254.254.0 255.255.255.0  #[Sub-rede de Redes CATO Remotas]
        set distance 1
        set priority 20 #[essa será a conexão de backup, então uma prioridade mais alta é necessária]
        set device "CATO_Cloud_M2"
next
edit #[ID de rota exclusiva FGT Local]
        set dst 10.254.254.0 255.255.255.0 #[caso contrário enviar para black hole - Redes CATO Remotas]
        set blackhole enable
        set distance 254    
next

  4. (Opcional) Crie uma zona, o que facilita ao criar uma nova regra ou se precisar alterar os nomes da VPN.

    config system zone
    edit "Cato-Cloud-Dial-up" #[Nome da Zona]
        set intrazone allow
        set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[os 2 VPN IPSEC]
    next

    Aviso! Esta configuração de zona pode causar problemas em algumas versões do sistema operacional FortiOS.

  5. Configurar a política do firewall com regras que permitem tráfego dentro do túnel.

    config firewall policy
    edit #[ID da regra FGT Local]
        set name “CATO Firewall”
        set srcintf "Virtual Lan" #[Interface ou interfaces de rede do site FGT Local]
        set dstintf "Cato-Cloud-Dial-up"#[Zona VPN ou interfaces VPN de Redes CATO Remotas]
        set action accept
        set srcaddr "all" #[Melhores práticas – filtro por endereço/grupo local]
        set dstaddr "all" #[Melhores práticas – filtro por endereço/grupo CATO]
        set schedule "always"
        set service "ALL"
    next
end

IKEv1 Site - Configurando FortiOS VS 3 (CLI)

Esta seção explica como configurar o FortiOS VS3 para um site Cato IPsec IKEv1 para dar suporte ao endereço IP público dinâmico para tráfego WAN.

Para configurar um FortiOS VS 3 para conectar a um site IKEv1 IPsec:

  1. Insira as configurações para definir a Fase 1 do IPsec:

    config vpn ipsec phase1
    edit "Cato"
        set interface "wan1"
        set localid "<site_name>.<acc_name>" #[Defina o ID Local - Você pode obter isso na Configurações do Site -> menu IPsec] 
        set nattraversal enable
        set proposal aes256-sha1
        set keylife 86400
        set mode aggressive
        set add-gw-route enable
        set remote-gw <ip> #[IP secundário do Cato PoP]
        set psksecret #[Chave Pré-Compartilhada (PSK) configurada na Cato Primária]
     next
end

  2. Insira as configurações para definir a Fase 2 do IPsec:

    config vpn ipsec phase2
    edit "Cato"
        set keepalive enable
        set pfs enable
        set phase1name "Cato"
        set proposal aes256-sha1
        set replay enable
        set keylifeseconds 3600
        set src-subnet 10.230.230.0 255.255.255.0
    next

  3. Configurar a regra do firewall:

        edit <name> #[o nome da regra do firewall]
        set srcintf "internal"
        set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
        set action ipsec
        set schedule "always"
            set service "ANY"
        set logtraffic enable
        set inbound enable
        set outbound enable
        set vpntunnel "Cato"
   next

  4. Configurar o roteamento para o site:

    config router static
     edit X
        set device "Cato” #[o nome IPSec]
        set dst 10.230.230.0 255.255.255.0 #[Sub-rede de Redes CATO Remotas]
        next
end
config router static
    edit Y
        set blackhole enable
        set dst 10.230.230.0 255.255.255.0 #[Sub-rede de Redes CATO Remotas] 
        set distance 254
    next 
end

IKEv2 Site – Configurando Cato IPsec IKEv2 Apenas Respondente com FortiGate

Esta seção explica como configurar o FortiOS para um site apenas de resposta Cato IPsec IKEv2 para dar suporte ao endereço IP público dinâmico para tráfego WAN. Esta parte do artigo explica uma configuração de VPN baseada em rotas.

Esta configuração foi testada no FortiOS 6.0.X e no FortiOS 7.0.X.

Primeiro, crie o local IKEv2 no CMA e nas configurações do IPsec escolha o modo de conexão como Apenas Resposta. Dessa forma, Cato não iniciará a conexão.

Um novo submenu aparecerá que lhe dará a opção de selecionar um identificador de autenticação. Selecione aqui a opção KEY_ID. O sistema prosseguirá e gerará um ID Local neste formato: [XXXXXXXX].[SiteID]. Configurar a Chave Pré-Compartilhada (PSK) e o Grupo DH para 16.

Para configurar as configurações de IPsec para o FortiOS:

  1. Digite as configurações para definir a Fase 1 do IPsec:

    config vpn ipsec phase1-interface
    editar "CATO_Cloud_MK21" #[Nome Principal de VPN] 
        set interface "wan1" #[Interface WAN de rede de site local FGT]
        set ike-version 2
        set keylife 19800
        set peertype qualquer
        set mode-cfg desativado
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[SiteID]" #[Definido o ID Local - Você pode obter isso no menu Configurações do Site -> IPsec]
        set comments "IPSEC Principal 2 Cato FW Iniciado"
        set dhgrp 16
        set nattraversal forced
        set remote-gw #[IP primário Cato PoP]
        set psksecret #[Chave Pré-Compartilhada (PSK) configurada primária Cato]
    next
    editar "CATO_Cloud_MK22" #[Nome Secundário de VPN] 
        set interface "wan2" #[Interface WAN Secundária de rede de site FGT – se não disponível, use a mesma Interface WAN]
        set ike-version 2
        set keylife 19800
        set peertype qualquer
        set mode-cfg desativado
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[SiteID]" #[Definido o ID Local - Você pode obter isso no menu Configurações do Site -> IPsec]
        set comments "IPSEC Secundário 2 Cato FW Iniciado como backup"
        set dhgrp 16
        set remote-gw #[IP secundário Cato PoP]
        set psksecret #[Chave Pré-Compartilhada (PSK) configurada secundária Cato]
    next

  2. Digite as configurações para definir a Fase 2 do IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_Cloud_MK22" #[Nome do Fase 2 VPN]
        set phase1name "CATO_Cloud_MK22" #[Nome do Fase 1 VPN] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_MK21" #[Nome do Fase 2 VPN]
        set phase1name "CATO_Cloud_MK21" #[Nome do Fase 1 VPN] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next

  3. Roteie o tráfego através do túnel VPN para o Cato Cloud:

    config router static
    edit X #[ID de rota exclusiva FGT Local]
        set dst 10.254.254.0 255.255.255.0 #[Sub-rede de Redes Cato Remotas – substitua como achar melhor]
        set device "CATO_Cloud_MK21"
    next
    edit Y #[ID de rota exclusiva FGT Local]
        set dst 10.254.254.0 255.255.255.0 #[Sub-rede de Redes Cato Remotas – substitua como achar melhor]
        set priority 10 #[essa será a conexão de backup, então uma prioridade mais alta é necessária]
        set device "CATO_Cloud_MK22"
    next
    edit Z #[ID de rota exclusiva FGT Local]
        set dst 10.254.254.0 255.255.255.0 #[caso contrário enviar para black hole - Redes Cato Remotas]
        set distance 254
        set blackhole enable
    next

  4. Configure a política de firewall com regras que permitam o tráfego dentro do túnel.

    config firewall policy
    edit #[ID da regra FGT Local]
        set name "From_Cato_Primary_IPsec"
        set srcintf "CATO_Cloud_MK21" #[Zona VPN ou interfaces VPN de Redes Cato Remotas]
        set dstintf "internal_LAN" #[Interface ou interfaces de rede do site FGT Local]
        set srcaddr "all" #[Melhores práticas – filtro por endereço/grupo Cato]
        set dstaddr "all" #[Melhores práticas – filtro por endereço/grupo local]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Não é necessário em versões mais recentes do FortiOS]
        set comments "Tráfego Da Cato primária IPSec"
    next
    edit #[ID da regra FGT Local]
        set name "To_Cato_Primary_IPsec"
        set srcintf "internal_LAN" #[Interface ou interfaces de rede do site FGT Local]
        set dstintf "CATO_Cloud_MK21" #[Zona VPN ou interfaces VPN de Redes Cato Remotas]
        set srcaddr "all" #[Melhores práticas – filtro por endereço/grupo local]
        set dstaddr "all" #[Melhores práticas – filtro por endereço/grupo Cato]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Não é necessário em versões mais recentes do FortiOS]
        set comments "Tráfego Da rede local para a Cato primária IPSec"
    next
    edit #[ID da regra FGT Local]
        set name "From_Cato_Secondary_IPsec"
        set srcintf "CATO_Cloud_MK22" #[Zona VPN ou interfaces VPN de Redes Cato Remotas]
        set dstintf "internal_LAN" #[Interface ou interfaces de rede do site FGT Local]
        set srcaddr "all" #[Melhores práticas – filtro por endereço/grupo Cato]
        set dstaddr "all" #[Melhores práticas – filtro por endereço/grupo local]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Não é necessário em versões mais recentes do FortiOS]
        set comments "Tráfego Da Cato secundária IPSec"
    next
    edit #[ID da regra FGT Local]
        set name "To_Cato_Secondary_IPsec"
        set srcintf "internal_LAN" #[Interface ou interfaces de rede do site FGT Local]
        set dstintf "CATO_Cloud_MK22" #[Zona VPN ou interfaces VPN de Redes Cato Remotas] 
        set srcaddr "all" #[Melhores práticas – filtro por endereço/grupo local]
        set dstaddr "all" #[Melhores práticas – filtro por endereço/grupo Cato]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Não é necessário em versões mais recentes do FortiOS]
        set comments "Tráfego Da rede local para a Cato secundária IPSec"
    next
end

Configurando o Appliance FortiOS com o GUI

Para configurar um FortiOS para conectar a um site FW-iniciado IKEv2 IPsec via GUI:

  1. Configurando as configurações IPsec do FortiOS:

    1. Vá para VPN > Assistente IPsec e insira o nome da VPN e selecione o nome do modelo – Personalizado. Clique em Próximo.

      image001.png

    2. Na próxima tela, configure conforme abaixo:

      image002.png
      image003.png
      image004.png
      image005.png

  2. Configure as configurações da Política de Firewall:

    Crie uma Política de Firewall para permitir o tráfego de e para o site IPsec da Cato. Vá para Política > Objetos > Política de Firewall e clique em Criar Novo. Sugerimos permitir todo o tráfego de todas as Redes FW, mas você pode selecionar a origem / destino / serviços conforme preferir.

    image006.png

    Nota: Normalmente você não precisa fazer NAT no seu tráfego.

  3. Configure as Rotas Estáticas:

    Por fim, adicione a rota em Rede > Rotas Estáticas > Criar Novo. Compile-o com a Faixa de IP da Cato que você deseja acessar através da conexão IPsec.

    image007.png
    1. Para criar o túnel de backup repetir o processo (1. Criação de conexão IPsec com um IP do PoP Cato diferente / 2. Criação de Política FW para o novo IPsec) e ao chegar à fase de roteamento definir a prioridade / distância administrativa para um número mais alto.

    2. Configure as configurações de roteamento dinâmico para o site no Aplicativo de Gerenciamento Cato. Defina os IPs Privados para os túneis Principal e Secundário do site.

      Se você deseja ter um roteamento dinâmico configurado em seu ambiente, terá que pular o passo 4.

      image008.png

    3. Configure as configurações BGP Principal e Secundário para o site.

      image009.png
  4. Configure as configurações de roteamento dinâmico na GUI do FortiGate.

    1. Configure cada uma das interfaces com a Cato e os IPs privados do FortiGate e ative o acesso administrativo para Ping:

      image011.png
      image012.png

    2. Vá para Rede > BGP e crie dois novos vizinhos espelhando a configuração da Cato:

      image013.png

    3. Configure o AS Local com as mesmas configurações que a Aplicação de Gerenciamento:

      image014.png

    4. Clique em Salvar .

      Você verá ambos os túneis ativos e, na Aplicação de Gerenciamento Cato na Configuração do Site > BGP, o estado é Estabelecido via conexão de entrada em ambas as conexões IPsec:

      image015.png

Esse artigo foi útil?

Usuários que acharam isso útil: 0 de 0

0 comentário