Cato Cloud на FortiGate через HA IPSec туннели

В этой статье обсуждается, как подключить сайт IPsec с устройствами FortiGate в конфигурации высокой доступности (HA) к облаку Cato.

Обзор Cato — загружено FortiGate VPN с IPsec Площадки

Эта статья предполагает, что вы работаете в среде с FortiGate, подключенным к Интернету с двумя WAN каналами, и мы будем создавать IPsec соединения к двум точкам присутствия Cato.

IP Cato PoP можно получить, выделив новый IP-адрес (или используя старый) из Приложения Управления Cato в Сеть > Распределение IP-адресов. Мы рекомендуем выбрать основной IP для местоположения PoP, который ближе всего к сайту, и вторичный IP из другого местоположения PoP.

Примечание: Эта конфигурация в данной статье была протестирована с версией прошивки 7.0.8.

IKEv2 с Сайт Cato — Настройка Аппарат FortiGate (CLI)

Этот раздел объясняет, как настроить устройство FortiGate для сайта Cato IPsec IKEv2 с маршрутизацией, инициированной Cato.

Пожалуйста, подключитесь к вашему устройству FortiGate через SSH с учетной записью администратора.

К Настроить Аппарат FortiGate загружено подключено к Сайт IKEv2 Cato:

Введите настройки для определения фазы 1 IPsec:

config vpn ipsec phase1-interface
    edit "CATO_IPSECV2-1" #[Основной VPN Имя]
        Установлено Интесфейс "wan1" #[Локальный FGT Сайт Сеть WAN Интесфейс]
        Установлено ike-версия 2
        Установлено keylife 19800
        Установлено peertype Любой
        Установлено сеть-устройства Отключить
        Установлено предложение aes256gcm-prfsha512
        Установлено комментарии "Основной VPN К CATO Облако XCATD01"
        Установлено dhgrp 16
        Установлено удаленный-gw #[Cato POP 1 IP]
        Установлено psksecret #[Основной Cato Настроен Ключ предварительного общего ключа (PSK)]
    next
end

config vpn ipsec phase1-interface
    edit "CATO_IPSECV2-2" #[Вторичный VPN Имя]
        Установлено Интесфейс "wan2" #[Вторичный FGT Сайт Сеть WAN Интесфейс – если Недоступно использовать тот же WAN Интесфейс]
        Установлено ike-версия 2
        Установлено keylife 19800
        Установлено peertype Любой
        Установлено сеть-устройства Отключить
        Установлено предложение aes256gcm-prfsha512
        Установлено комментарии "Вторичный VPN К CATO Облако XCATD01"
        Установлено dhgrp 16
        Установлено удаленный-gw #[Cato POP 2 IP]
        Установлено psksecret #[Основной Cato Настроен Ключ предварительного общего ключа (PSK)]
     next
end

Введите настройки для определения фазы 2 IPsec:

config vpn ipsec phase2-interface
    edit "CATO_IPSECV2-1" #[VPN фаза 2 Имя]
        Установлено phase1name "CATO_IPSECV2-1" #[VPN фаза 1 Имя]
        Установлено предложение aes256gcm
        Установлено dhgrp 16
        Установлено keylifeseconds 3600
    next
    edit "CATO_IPSECV2-2" #[VPN фаза 2 Имя]
        Установлено phase1name "CATO_IPSECV2-2" #[VPN фаза 1 Имя]
        Установлено предложение aes256gcm
        Установлено dhgrp 16
        Установлено keylifeseconds 3600
    next
end

Маршрутизируйте трафик через VPN туннель в облако Cato.

Вы можете сделать это с помощью статической маршрутизации или динамически, используя BGP. В этом примере мы используем статическую маршрутизацию.

config router static
   edit #[Локальный FGT уникальный маршрут ID]
        Установлено dst 172.101.0.0 255.255.255.0 #[Источник соединения CATO Сети Подсеть]
        Установлено Время отклика 1
        Установлено Устройство "CATO_IPSECV2-1"
    next
   edit #[Локальный FGT уникальный маршрут ID]
        Установлено dst 172.101.0.0 255.255.255.0 #[Источник соединения CATO Сети Подсеть]
        Установлено Приоритет 10
        Установлено Время отклика 1
        Установлено Устройство "CATO_IPSECV2-2"
    next
    edit #[Локальный FGT уникальный маршрут ID]
        Установлено dst 172.101.0.0 255.255.255.0 #[в противном случае отправить в черное отверстие - Источник соединения CATO Сети Подсеть]
        Установлено blackhole Включить пользователей LDAP
        Установлено Время отклика 254
    next
end

(Опционально) Создайте зону, что облегчает при создании нового правила или если вам нужно изменить имена VPN.
```
config system zone
    edit "Cato-Облако-Площадки-к-Площадки" #[Зона сайта Имя]
        Установлено внутри зоны Разрешить
        Установлено Интесфейс "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[2 IPSEC VPN’s]
    next
```
Предупреждение! Эта конфигурация зоны может вызвать проблемы в некоторых версиях операционной системы FortiOS.

Настройте политику файервола с правилами, которые позволяют трафик внутри туннеля.

config firewall policy
    edit #[Локальный FGT правило ID]
        Установлено Имя "CATO Файервол"
        Установлено srcintf "Виртуал ЛВС" #[Локальный FGT Сайт Сеть Интесфейс]
        Установлено dstintf "Cato-Облако-Площадки-к-Площадки"#[Источник соединения CATO Сети VPN зона сайта или VPN Интесфейс]
        Установлено действие Принять
        Установлено srcaddr "Все" #[Лучшие практики – Фильтр по локальному Адрес / Группа]
        Установлено dstaddr "Все" #[Лучшие практики – Фильтр по CATO Адрес / Группа]
        Установлено расписание "всегда"
        Установлено Сервис "Все"
    next
end

IKEv1 Агрессивный (Файервол Настроен) Сайт - Настроить Аппарат FortiGate (CLI)

Этот раздел объясняет, как настроить устройство FortiGate для IPsec IKEv1 сайта Cato, где маршрутизация начинается устройством FortiGate для поддержки динамического публичного IP-адреса для трафика WAN.

Примечание: Эта конфигурация в данной статье была протестирована с версией прошивки 7.0.8.

К Настроить Аппарат FortiGate загружено подключено к IKEv1 Файервол-Настроен Сайт:

Введите настройки для определения Фазы 1 IPsec:

config vpn ipsec phase1-interface
edit "CATO_Облако_M1" #[Основной VPN Имя]
        Установлено Интесфейс "wan1" #[Локальный FGT Сайт Сеть WAN Интесфейс]
        Установлено keylife 19800
        Установлено режим Агрессивный
        Установлено peertype Любой
        Установлено сеть-устройства Отключить
        Установлено предложение aes256-sha512
        Установлено локальный id "<сайт_name>.<acc_name>" #[Установите Локальный ID - Вы можете получить его из Настройки Сайта -> IPsec меню]
        Установлено dhgrp 16
        Установлено удаленный-gw  #[Cato pop Основной IP]
        Установлено psksecret #[Основной Cato Настроен Ключ предварительного общего ключа (PSK)]
next
edit "CATO_Облако_M2" #[Вторичный VPN Имя]
        Установлено Интесфейс "wan2" #[Вторичный FGT Сайт Сеть WAN Интесфейс – если Недоступно использовать тот же WAN Интесфейс]
        Установлено keylife 19800
        Установлено режим Агрессивный
        Установлено peertype Любой
        Установлено сеть-устройства Отключить
        Установлено предложение aes256-sha512
        Установлено локальный id "<сайт_name>.<acc_name>" #[Установите Локальный ID - Вы можете получить его из Настройки Сайта -> IPsec меню]
        Установлено dhgrp 16
        Установлено удаленный-gw  #[Cato pop Вторичный IP]
        Установлено psksecret #[Вторичный Cato Настроен Ключ предварительного общего ключа (PSK)]
next

Введите настройки для определения Фазы 2 IPsec:

config vpn ipsec phase2-interface
    edit "CATO_Облако_M1" #[VPN фаза 2 Имя]
        Установлено phase1name "CATO_Облако_M1" #[VPN фаза 1 Имя]
        Установлено предложение aes256-sha256
        Установлено dhgrp 16
        Установлено Включить пользователей LDAP Включено
        Установлено комментарии "Фаза 2"
        Установлено keylifeseconds 3600
    next
    edit "CATO_Облако_M2" #[VPN фаза 2 Имя]
        Установлено phase1name "CATO_Облако_M2" #[VPN фаза 1 Имя]
        Установлено предложение aes256-sha256
        Установлено dhgrp 16
        Установлено Включить пользователей LDAP Включено
        Установлено комментарии "Фаза 2"
        Установлено keylifeseconds 3600
    next

Маршрутизируйте трафик через VPN туннель к Cato Cloud.

Вы можете сделать это с помощью статической маршрутизации или динамически с использованием BGP. В этом примере используется статическая маршрутизация.

edit #[Локальный FGT уникальный маршрут ID]
        Установлено dst 10.254.254.0 255.255.255.0  #[Источник соединения CATO Сети Подсеть]
        Установлено Время отклика 1
        Установлено Устройство "CATO_Облако_M1"
next
edit #[Локальный FGT уникальный маршрут ID]
        Установлено dst 10.254.254.0 255.255.255.0  #[Источник соединения CATO Сети Подсеть]
        Установлено Время отклика 1
        Установлено Приоритет 20 #[это будет резервное соединение, поэтому нужен более высокий Приоритет]
        Установлено Устройство "CATO_Облако_M2"
next
edit #[Локальный FGT уникальный маршрут ID]
        Установлено dst 10.254.254.0 255.255.255.0 #[в противном случае отправить в черное отверстие - Источник соединения CATO Сети]
        Установлено blackhole Включить пользователей LDAP
        Установлено Время отклика 254
next

(Необязательно) Создайте зону, чтобы упростить создание нового правила или изменение названий VPN.
```
config system zone
    edit "Cato-Облако-Дозвон" #[Зона сайта Имя]
        Установлено внутри зоны Разрешить
        Установлено Интесфейс " CATO_Облако_M1" " CATO_Облако_M2" #[2 IPSEC VPN’s]
    next
```
Предупреждение! Эта конфигурация зоны может вызвать проблемы на некоторых версиях операционной системы FortiOS.

Настройте политику файервола с правилами, которые разрешают трафик внутри туннеля.

config firewall policy
    edit #[Локальный FGT правило ID]
        Установлено Имя "CATO Файервол"
        Установлено srcintf "Виртуал ЛВС" #[Локальный FGT Сайт Сеть Интесфейс или Интесфейсы]
        Установлено dstintf "Cato-Облако-Дозвон"#[Источник соединения CATO Сети VPN зона сайта или VPN Интесфейсы]
        Установлено действие Принять
        Установлено srcaddr "Все" #[Лучшие практики – Фильтр по локальному Адрес / Группа]
        Установлено dstaddr "Все" #[Лучшие практики – Фильтр по CATO Адрес / Группа]
        Установлено расписание "всегда"
        Установлено Сервис "Все"
    next
end

IKEv1 Сайт - Настроить FortiOS VS 3 (CLI)

Этот раздел объясняет, как настроить FortiOS VS3 для IKEv1 сайта Cato IPsec, чтобы поддержать динамический публичный IP-адрес для трафика WAN.

К Настроить FortiOS загружено подключено к Сайт IPsec IKEv1:

Введите настройки для определения Фазы 1 IPsec:

config vpn ipsec phase1
    edit "Cato"
        Установлено Интесфейс "wan1"
        Установлено локальный id "<сайт_name>.<acc_name>" #[Установите Локальный ID - Вы можете получить его из Настройки Сайта -> IPsec меню] 
        Установлено nattraversal Включить пользователей LDAP
        Установлено предложение aes256-sha1
        Установлено keylife 86400
        Установлено режим Агрессивный
        Установлено add-gw-маршрут Включить пользователей LDAP
        Установлено удаленный-gw <ip> #[Cato PoP Вторичный IP]
        Установлено psksecret #[Основной Cato Настроен Ключ предварительного общего ключа (PSK)]
     next
end

Введите настройки, чтобы определить IPsec фазу 2:

config vpn ipsec phase2
    edit "Cato"
        Установлено keepalive Включить пользователей LDAP
        Установлено pfs Включить пользователей LDAP
        Установлено phase1name "Cato"
        Установлено предложение aes256-sha1
        Установлено replay Включить пользователей LDAP
        Установлено keylifeseconds 3600
        Установлено src-subnet 10.230.230.0 255.255.255.0
    next

Настройте правило брандмауэра:

    edit <Имя> #[Файервол Правило Имя]
        Установлено srcintf "внутренний"
        Установлено dstintf "wan1"
        Установлено srcaddr "Все"
        Установлено dstaddr "Все"
        Установлено действие IPsec
        Установлено расписание "всегда"
        Установлено Сервис "Любой"
        Установлено трафик журналов Включить пользователей LDAP
        Установлено входящий Включить пользователей LDAP
        Установлено исходящий Включить пользователей LDAP
        Установлено vpntunnel "Cato"
   next

Настройте маршрутизацию для сайта:

config router static
     edit X
        Установлено Устройство "Cato” #[IPsec Имя]
        Установлено dst 10.230.230.0 255.255.255.0 #[Источник соединения CATO Сети Подсеть]
        next
end
config router static
    edit Y
        Установлено blackhole Включить пользователей LDAP
        Установлено dst 10.230.230.0 255.255.255.0 #[Источник соединения CATO Сети Подсеть] 
        Установлено Время отклика 254
    next 
end

IKEv2 Сайт – Настроить Cato IPsec IKEv2 Только ответчик с FortiGate

Этот раздел объясняет, как настроить FortiOS для сайта только в режиме ответчика IPsec IKEv2 Cato, чтобы поддерживать динамический публичный IP для WAN-трафика. Эта часть статьи объясняет настройку VPN на основе маршрута.

Эта конфигурация была протестирована на FortiOS 6.0.X и на FortiOS 7.0.X.

Первое, что нужно сделать, это создать сайт IKEv2 в CMA и в настройках IPsec выбрать режим подключения как Только ответчик. Таким образом, Cato не будет инициировать подключение.

Появится новое подменю, которое даст вам возможность выбрать идентификатор аутентификации. Выберите здесь опцию KEY_ID. Система продолжит и сгенерирует Локальный.ID в этой форме: [XXXXXXXX].[SiteID]. Настройте PSK и группу DH на 16.

К Настроить IPsec Настройки для FortiOS:

Введите настройки, чтобы определить IPsec фазу 1:

config vpn ipsec phase1-interface
    edit "CATO_Cloud_MK21" #[Основное Имя VPN]
        set interface "wan1" #[Локальная Сеть WAN интерфейс]
        set ike-version 2
        set keylife 19800
        set peertype Любой
        set mode-cfg Отключено
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[СайтID]" #[Установление локального ID - Это можно получить из Настройки Сайта -> IPsec менюшка]
        set comments "Основное IPSEC 2 Cato FW Инициировано"
        set dhgrp 16
        set nattraversal принудительно
        set remote-gw #[Cato PoP основной IP]
        set psksecret #[Основной Cato настраиваемый PSK]
    next
    edit "CATO_Cloud_MK22" #[Вторичное Имя VPN]
        set interface "wan2" #[Вторичный сайт сетевой WAN интерфейс – если недоступно, используйте тот же WAN интерфейс
        set ike-version 2
        set keylife 19800
        set peertype Любой
        set mode-cfg Отключено
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[СайтID]" #[Установление локального ID - Это можно получить из Настройки Сайта -> IPsec менюшка]
        set comments "Вторичное IPSEC 2 Cato FW Инициировано резервное"
        set dhgrp 16
        set remote-gw #[Cato PoP вторичный IP]
        set psksecret #[Вторичный Cato настраиваемый PSK]
    next

Введите настройки, чтобы определить IPsec фазу 2:

config vpn ipsec phase2-interface
    edit "CATO_Облако_MK22" #[VPN фаза 2 Имя]
        Установлено phase1name "CATO_Облако_MK22" #[VPN фаза 1 Имя] 
        Установлено предложение aes256-sha512
        Установлено dhgrp 16
        Установлено Включить пользователей LDAP Включено
        Установлено keylifeseconds 3600
    next
    edit "CATO_Облако_MK21" #[VPN фаза 2 Имя]
        Установлено phase1name "CATO_Облако_MK21" #[VPN фаза 1 Имя] 
        Установлено предложение aes256-sha512
        Установлено dhgrp 16
        Установлено Включить пользователей LDAP Включено
        Установлено keylifeseconds 3600
    next

Маршрутизируйте трафик через VPN туннель в облако Cato:

config router static
    edit X #[Локальный FGT уникальный маршрут ID]
        Установлено dst 10.254.254.0 255.255.255.0 #[Источник соединения Cato Сети Подсеть – заменить как считаете нужным]
        Установлено Устройство "CATO_Облако_MK21"
    next
    edit Y #[Локальный FGT уникальный маршрут ID]
        Установлено dst 10.254.254.0 255.255.255.0 #[Источник соединения Cato Сети Подсеть – заменить как считаете нужным]
        Установлено Приоритет 10 #[это будет резервное соединение, поэтому нужен более высокий Приоритет]
        Установлено Устройство "CATO_Облако_MK22"
    next
    edit Z #[Локальный FGT уникальный маршрут ID]
        Установлено dst 10.254.254.0 255.255.255.0 #[в противном случае отправить в черное отверстие - Источник соединения Cato Сети]
        Установлено Время отклика 254
        Установлено blackhole Включить пользователей LDAP
    next

Настройте политику брандмауэра с правилами, которые разрешают трафик внутри туннеля.

config firewall policy
    edit #[Локальный FGT правило ID]
        Установлено Имя "От_Cato_Основной_IPsec"
        Установлено srcintf "CATO_Облако_MK21" #[Источник Источник соединения Cato Сети VPN зона сайта или VPN Интесфейс]
        Установлено dstintf "внутренний_ЛВС" #[Локальный FGT Сайт Сеть Интесфейс или Интесфейсы]
        Установлено srcaddr "Все" #[Лучшие практики – Фильтр по Cato Адрес / Группа]
        Установлено dstaddr "Все" #[Лучшие практики – Фильтр по локальному Адрес / Группа]
        Установлено действие Принять
        Установлено расписание "всегда"
        Установлено Сервис "Все"
        Установлено трафик журналов Все
        Установлено fsso Отключить #[Не нужно в новых версиях FortiOS]
        Установлено комментарии "Трафик От_Cato Основной IPsec"
    next
    edit #[Локальный FGT правило ID]
        Установлено Имя "К_Cato_Основной_IPsec"
        Установлено srcintf "внутренний_ЛВС" #[Локальный FGT Сайт Сеть Интесфейс или Интесфейсы]
        Установлено dstintf "CATO_Облако_MK21" #[Источник Источник соединения Cato Сети VPN зона сайта или VPN Интесфейс]
        Установлено srcaddr "Все" #[Лучшие практики – Фильтр по локальному Адрес / Группа]
        Установлено dstaddr "Все" #[Лучшие практики – Фильтр по Cato Адрес / Группа]
        Установлено действие Принять
        Установлено расписание "всегда"
        Установлено Сервис "Все"
        Установлено трафик журналов Все
        Установлено fsso Отключить #[Не нужно в новых версиях FortiOS]
        Установлено комментарии "Трафик От локальной сети к_Cato Основной IPsec"
    next
    edit #[Локальный FGT правило ID]
        Установлено Имя "От_Cato_Вторичный_IPsec"
        Установлено srcintf "CATO_Облако_MK22" #[Источник Источник соединения Cato Сети VPN зона сайта или VPN Интесфейс]
        Установлено dstintf "внутренний_ЛВС" #[Локальный FGT Сайт Сеть Интесфейс или Интесфейсы]
        Установлено srcaddr "Все" #[Лучшие практики – Фильтр по Cato Адрес / Группа]
        Установлено dstaddr "Все" #[Лучшие практики – Фильтр по локальному Адрес / Группа]
        Установлено действие Принять
        Установлено расписание "всегда"
        Установлено Сервис "Все"
        Установлено трафик журналов Все
        Установлено fsso Отключить #[Не нужно в новых версиях FortiOS]
        Установлено комментарии "Трафик От_Cato Вторичный IPsec"
    next
    edit #[Локальный FGT правило ID]
        Установлено Имя "К_Cato_Вторичный_IPsec"
        Установлено srcintf "внутренний_ЛВС" #[Локальный FGT Сайт Сеть Интесфейс или Интесфейсы]
        Установлено dstintf "CATO_Облако_MK22" #[Источник Источник соединения Cato Сети VPN зона сайта или VPN Интесфейс] 
        Установлено srcaddr "Все" #[Лучшие практики – Фильтр по локальному Адрес / Группа]
        Установлено dstaddr "Все" #[Лучшие практики – Фильтр по Cato Адрес / Группа]
        Установлено действие Принять
        Установлено расписание "всегда"
        Установлено Сервис "Все"
        Установлено трафик журналов Все
        Установлено fsso Отключить #[Не нужно в новых версиях FortiOS]
        Установлено комментарии "Трафик От локальной сети к_Cato Вторичный IPsec"
    next
end

Настроить FortiOS Устройства с GUI

К Настроить FortiOS загружено подключено к IPsec IKEv2 FW-Настроен Сайт через GUI:

Настроить FortiOS IPsec Настройки:
1. Перейдите в VPN > IPsec Мастер, введите имя VPN и выберите имя шаблона – Пользовательский. Нажмите Далее.
2. На следующем экране настройте, как показано ниже:
Настройка параметров Политика брандмауэра:

Создайте Политика брандмауэра, чтобы разрешить трафик из и в IPsec сайт Cato. Перейдите в Политика > Объекты > Политика брандмауэра и нажмите Создать новый. Мы предлагаем разрешить весь трафик из всех сетей FW, но вы можете выбрать источник / назначение / сервисы, как вам угодно.

Примечание: Обычно вам не нужно использовать NAT для вашего трафика.
Настройка статических маршрутов:

Наконец, добавьте маршрут из Сеть > Статические маршруты > Создать новый. Скомпилируйте его с Диапазон IP Cato, который вы хотите получить через IPsec соединение.
1. К Создать резервный туннель повторить Процесс (1. IPsec Соединение Создание с другой IP Cato PoP / 2. FW Политика развертывания Создание для Новый IPsec) и когда прибудет в Маршрутизация фаза Установлено Приоритет / административное Время отклика к более высокой число.
2. Настроить параметры динамической маршрутизации для сайта в Приложение управления Cato. Определите Частные IP для Основной и Вторичный туннелей сайта.
  
  Если вы хотите настроить динамическую маршрутизацию в вашей среде, вам нужно будет пропустить шаг 4.
3. Настроить Основные и Вторичные BGP настройки для сайта.
Настроить Динамические маршруты Настройки Входит в FortiGate GUI.
1. Настроить каждое из интерфейсов с Cato и частными IP FortiGate и включите административный доступ для Ping:
2. Перейдите в Сеть > BGP и создайте двух новых соседей, зеркально отражающих конфигурацию Cato:
3. Настроить Local AS с одинаковыми настройками, как в Приложение управления Cato:
4. Нажмите Сохранить.
  
  Вы увидите оба туннеля в Приложение управления Cato в Настройки Сайта > BGP, статус Установлено через входящее соединение на обоих соединениях IPsec: