Cato Cloud на FortiGate через HA IPSec туннели

В этой статье обсуждается, как подключить сайт IPsec с устройствами FortiGate в конфигурации высокой доступности (HA) к облаку Cato.

Обзор Cato к FortiGate VPN с сайтами IPsec

Эта статья предполагает, что вы работаете в среде с FortiGate, подключенным к Интернету с двумя WAN каналами, и мы будем создавать IPsec соединения к двум точкам присутствия Cato.

image.png

IP Cato PoP можно получить, выделив новый IP-адрес (или используя старый) из Приложения Управления Cato в Сеть > Распределение IP-адресов. Мы рекомендуем выбрать основной IP для местоположения PoP, который ближе всего к сайту, и вторичный IP из другого местоположения PoP.

Примечание: Эта конфигурация в данной статье была протестирована с версией прошивки 7.0.8.

IKEv2 с площадкой, инициированной Cato - Настройка устройства FortiGate (CLI)

Этот раздел объясняет, как настроить устройство FortiGate для сайта Cato IPsec IKEv2 с маршрутизацией, инициированной Cato.

Пожалуйста, подключитесь к вашему устройству FortiGate через SSH с учетной записью администратора.

Чтобы настроить устройство FortiGate для подключения к сайту IKEv2, инициированному Cato:

  1. Введите настройки для определения фазы 1 IPsec:

    config vpn ipsec phase1-interface
    edit “CATO_IPSECV2-1” #[Основное имя VPN]
        set interface "wan1"  #[Локальный WAN интерфейс сети FGT]
        set ike-version 2
        set keylife 19800
        set peertype Любой
        set net-device Отключить
        set proposal aes256gcm-prfsha512
        set comments “Основной VPN к CATO Cloud XCATD01”
        set dhgrp 16
        set remote-gw #[Cato POP 1 IP]
        set psksecret  #[Основной Cato настроенный PSK]
    next
end

config vpn ipsec phase1-interface
    edit “CATO_IPSECV2-2” #[Вторичное имя VPN]
        set interface "wan2" #[Вторичный WAN интерфейс сети FGT – если недоступен, используйте тот же WAN интерфейс]
        set ike-version 2
        set keylife 19800
        set peertype Любой
        set net-device Отключить
        set proposal aes256gcm-prfsha512
        set comments “Вторичный VPN к CATO Cloud XCATD01”
        set dhgrp 16
        set remote-gw #[Cato POP 2 IP]
        set psksecret #[Основной Cato настроенный PSK]
    next
end

  2. Введите настройки для определения фазы 2 IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_IPSECV2-1" #[Имя фазы 2 VPN]
        set phase1name "CATO_IPSECV2-1" #[Имя фазы 1 VPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
    edit "CATO_IPSECV2-2” #[Имя фазы 2 VPN]
        set phase1name "CATO_IPSECV2-2” #[Имя фазы 1 VPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
end

  3. Маршрутизируйте трафик через VPN туннель в облако Cato.

    Вы можете сделать это с помощью статической маршрутизации или динамически, используя BGP. В этом примере мы используем статическую маршрутизацию.

    config router static
   edit #[Уникальный ID маршрута локального FGT]
        set dst 172.101.0.0 255.255.255.0 #[Удаленная подсеть CATO Networks]
        set distance 1
        set device "CATO_IPSECV2-1"
    next
   edit #[Уникальный ID маршрута локального FGT]
        set dst 172.101.0.0 255.255.255.0 #[Удаленная подсеть CATO Networks]
        set priority 10
        set distance 1
        set device "CATO_IPSECV2-2”
    next
    edit #[Уникальный ID маршрута локального FGT]
        set dst 172.101.0.0 255.255.255.0 #[иначе отправить в черную дыру - удаленная подсеть CATO Networks]
        set blackhole enable
        set distance 254
    next
end

  4. (Опционально) Создайте зону, что облегчает при создании нового правила или если вам нужно изменить имена VPN.

    config system zone
    edit "Cato-Cloud-S2S" #[Имя зоны]
        set intrazone allow
        set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[2 IPSEC VPN]
    next

    Предупреждение! Эта конфигурация зоны может вызвать проблемы в некоторых версиях операционной системы FortiOS.

  5. Настройте политику файервола с правилами, которые позволяют трафик внутри туннеля.

    config firewall policy
    edit #[ID правила локального FGT]
        set name “CATO Файервол”
        set srcintf "Virtual Lan" #[Сетевой интерфейс локального сайта FGT]
        set dstintf "Cato-Cloud-S2S"#[Удаленная зона VPN CATO Networks или VPN интерфейсы]
        set action Принять
        set srcaddr "Все" #[Лучшие практики – фильтровать по локальному адресу/группе]
        set dstaddr "Все" #[Лучшие практики – фильтровать по адресу/группе CATO]
        set schedule "always"
        set service "ALL"
    next
end

IKEv1 Агрессивный (Инициированный файерволом) Сайт - Настройка устройства FortiGate (CLI)

Этот раздел объясняет, как настроить устройство FortiGate для IPsec IKEv1 сайта Cato, где маршрутизация начинается устройством FortiGate для поддержки динамического публичного IP-адреса для трафика WAN.

Примечание: Эта конфигурация в данной статье была протестирована с версией прошивки 7.0.8.

Чтобы настроить устройство FortiGate для подключения к IKEv1 Сайту, инициированному файерволом:

  1. Введите настройки для определения Фазы 1 IPsec:

    config vpn ipsec phase1-interface
edit "CATO_Cloud_M1" #[Основное имя VPN]
        set interface "wan1" #[Локальный сетевой интерфейс WAN сайта FGT]
        set keylife 19800
        set mode aggressive
        set peertype любой
        set net-device отключить
        set proposal aes256-sha512
        set localid "." #[Установите локальный ID - его можно получить из Настройки Сайта -> меню IPsec]
        set dhgrp 16
        set remote-gw  #[Основной IP Cato POP]
        set psksecret #[Первичный настроенный Ключ предварительного общего ключа (PSK) Cato]
next
edit "CATO_Cloud_M2" #[Вторичное имя VPN]
        set interface "wan2" #[Вторичный сетевой интерфейс WAN сайта FGT – если недоступен, используйте тот же интерфейс WAN]
        set keylife 19800
        set mode aggressive
        set peertype любой
        set net-device отключить
        set proposal aes256-sha512
        set localid "." #[Установите локальный ID - его можно получить из Настройки Сайта -> меню IPsec]
        set dhgrp 16
        set remote-gw  #[Вторичный IP Cato POP]
        set psksecret #[Вторичный настроенный Ключ предварительного общего ключа (PSK) Cato]
next

  2. Введите настройки для определения Фазы 2 IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_Cloud_M1" #[Имя Фазы 2 VPN]
        set phase1name "CATO_Cloud_M1" #[Имя Фазы 1 VPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate включить
        set comments "Phase2"
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_M2" #[Имя Фазы 2 VPN]
        set phase1name "CATO_Cloud_M2" #[Имя Фазы 1 VPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate включить
        set comments "Phase2"
        set keylifeseconds 3600
    next

  3. Маршрутизируйте трафик через VPN туннель к Cato Cloud.

    Вы можете сделать это с помощью статической маршрутизации или динамически с использованием BGP. В этом примере используется статическая маршрутизация.

    edit #[Уникальный маршрут ID локального FGT]
        set dst 10.254.254.0 255.255.255.0  #[Удаленная подсеть Cato Networks]
        set distance 1
        set device "CATO_Cloud_M1"

next
edit #[Уникальный маршрут ID локального FGT]
        set dst 10.254.254.0 255.255.255.0  #[Удаленная подсеть Cato Networks]
        set distance 1
        set priority 20 #[это будет резервное соединение, поэтому требуется более высокий приоритет]
        set device "CATO_Cloud_M2"
next
edit #[Уникальный маршрут ID локального FGT]
        set dst 10.254.254.0 255.255.255.0 #[иначе отправить в черную дыру - Удаленные Cato Networks]
        set blackhole включить
        set distance 254    
next

  4. (Необязательно) Создайте зону, чтобы упростить создание нового правила или изменение названий VPN.

    config system zone
    edit "Cato-Cloud-Dial-up" #[Название зоны]
        set intrazone позволить
        set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[2 IPsec VPN]
    next

    Предупреждение! Эта конфигурация зоны может вызвать проблемы на некоторых версиях операционной системы FortiOS.

  5. Настройте политику файервола с правилами, которые разрешают трафик внутри туннеля.

    config firewall policy
    edit #[ID правила локального FGT]
        set name "CATO Брандмауэр"
        set srcintf "Виртуальная ЛВС" #[Локальный сетевой интерфейс сайта FGT]
        set dstintf "Cato-Cloud-Dial-up"#[Зона VPN или интерфейсы VPN Удаленные Cato Networks]
        set action принять
        set srcaddr "все" #[Лучшие практики – фильтрация по локальному адресу / группе]
        set dstaddr "все" #[Лучшие практики – фильтрация по адресу Cato / группе]
        set schedule "всегда"
        set service "ВСЕ"
    next
end

Сайт IKEv1 - Настройка FortiOS VS 3 (CLI)

Этот раздел объясняет, как настроить FortiOS VS3 для IKEv1 сайта Cato IPsec, чтобы поддержать динамический публичный IP-адрес для трафика WAN.

Чтобы настроить FortiOS VS 3 для подключения к сайту IPsec IKEv1:

  1. Введите настройки для определения Фазы 1 IPsec:

    config vpn ipsec phase1
    edit "Cato"
        set interface "wan1"
        set localid "<site_name>.<acc_name>" #[Установите локальный ID - Вы можете получить это из Настройки Сайта -> меню IPsec]
        set nattraversal enable
        set proposal aes256-sha1
        set keylife 86400
        set mode aggressive
        set add-gw-route enable
        set remote-gw <ip> #[Вторичный IP PoP Cato]
        set psksecret #[Первично настроенный PSK Cato]
     next
end

  2. Введите настройки, чтобы определить IPsec фазу 2:

    config vpn ipsec phase2
    Редактировать "Cato"
        включен поддержание активного соединения
        включен pfs
        Установлено имяфазы1 "Cato"
        Установлено протокол aes256-sha1
        включен повтор
        Установлено срокдействияключа 3600
        Установлено исходнаяподсеть 10.230.230.0 255.255.255.0
    следующий

  3. Настройте правило брандмауэра:

        edit <name> #[Имя правила брандмауэра]
        set srcintf "internal"
        set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
        set action ipsec
        set schedule "always"
            set service "ANY"
        set logtraffic enable
        set inbound enable
        set outbound enable
        set vpntunnel "Cato"
   next

  4. Настройте маршрутизацию для сайта:

    config router static
     edit X
        set device "Cato” #[имя ipsec]
        set dst 10.230.230.0 255.255.255.0 #[Удаленная подсеть Cato Networks]
        next
end
config router static
    edit Y
        set blackhole enable
        set dst 10.230.230.0 255.255.255.0 #[Удаленная подсеть Cato Networks]
        set distance 254
    next 
end

Сайт IKEv2 – Настройка IPsec IKEv2 Cato только в режиме ответчика с FortiateG

Этот раздел объясняет, как настроить FortiOS для сайта только в режиме ответчика IPsec IKEv2 Cato, чтобы поддерживать динамический публичный IP для WAN-трафика. Эта часть статьи объясняет настройку VPN на основе маршрута.

Эта конфигурация была протестирована на FortiOS 6.0.X и на FortiOS 7.0.X.

Первое, что нужно сделать, это создать сайт IKEv2 в CMA и в настройках IPsec выбрать режим подключения как Только ответчик. Таким образом, Cato не будет инициировать подключение.

Появится новое подменю, которое даст вам возможность выбрать идентификатор аутентификации. Выберите здесь опцию KEY_ID. Система продолжит и сгенерирует Локальный.ID в этой форме: [XXXXXXXX].[SiteID]. Настройте PSK и группу DH на 16.

Чтобы настроить IPsec настройки для FortiOS:

  1. Введите настройки, чтобы определить IPsec фазу 1:

    config vpn ipsec phase1-interface
    edit "CATO_Cloud_MK21" #[Основное имя VPN]
        set interface "wan1" #[Локальный WAN интерфейс сетевого участка FGT]
        set ike-version 2
        set keylife 19800
        set peertype any
        set mode-cfg enable
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[SiteID]" #[Установите локальный ID - Вы можете получить это из Настройки Сайта -> меню IPsec]
        set comments "Основной IPSEC 2 инициирован Cato FW"
        set dhgrp 16
        set nattraversal forced
        set remote-gw #[Основной IP PoP Cato]
        set psksecret #[Основной настроенный PSK Cato]
    next
    edit "CATO_Cloud_MK22" #[Вторичное имя VPN]
        set interface "wan2" #[Вторичный WAN интерфейс сетевого участка FGT – если недоступно, использовать тот же WAN интерфейс]
        set ike-version 2
        set keylife 19800
        set peertype any
        set proposal aes256gcm-prfsha512
        set localid "[XXXXXXXX].[SiteID]" #[Установите локальный ID - Вы можете получить это из Настройки Сайта -> меню IPsec]
        set comments "Вторичное резервное IPSEC 2 инициировано Cato FW"
        set dhgrp 16
        set remote-gw #[Вторичный IP PoP Cato]
        set psksecret #[Вторичный настроенный PSK Cato]
    next

  2. Введите настройки, чтобы определить IPsec фазу 2:

    config vpn ipsec phase2-interface
    edit "CATO_Cloud_MK22" #[Имя фазы 2 VPN]
        set phase1name "CATO_Cloud_MK22" #[Имя фазы 1 VPN]
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_MK21" #[Имя фазы 2 VPN]
        set phase1name "CATO_Cloud_MK21" #[Имя фазы 1 VPN]
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next

  3. Маршрутизируйте трафик через VPN туннель в облако Cato:

    config router static
    edit X #[Локальный уникальный ID маршрута FGT]
        set dst 10.254.254.0 255.255.255.0 #[Удаленная подсеть Cato Networks – замените по мере необходимости]
        set device "CATO_Cloud_MK21"
    next
    edit Y #[Локальный уникальный ID маршрута FGT]
        set dst 10.254.254.0 255.255.255.0 #[Удаленная подсеть Cato Networks – замените по мере необходимости]
        set priority 10 #[это будет резервное соединение, поэтому требуется более высокий приоритет]
        set device "CATO_Cloud_MK22"
    next
    edit Z #[Локальный уникальный ID маршрута FGT]
        set dst 10.254.254.0 255.255.255.0 #[иначе отправьте в черную дыру - Удаленные Cato Networks]
        set distance 254
        set blackhole enable
    next

  4. Настройте политику брандмауэра с правилами, которые разрешают трафик внутри туннеля.

    config firewall policy
    edit #[Локальный ID правила FGT]
        set name "From_Cato_Primary_IPsec"
        set srcintf "CATO_Cloud_MK21" #[Удаленная зона VPN Cato Networks или интерфейсы VPN]
        set dstintf "internal_LAN" #[Сетевой интерфейс или интерфейсы локальной площадки FGT]
        set srcaddr "all" #[Лучшие практики – фильтровать по адресу Cato / группе]
        set dstaddr "all" #[Лучшие практики – фильтровать по локальному адресу / группе]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Не нужно в более новых версиях FortiOS]
        set comments "Трафик от основного IPSec Cato"
    next
    edit #[Локальный ID правила FGT]
        set name "To_Cato_Primary_IPsec"
        set srcintf "internal_LAN" #[Сетевой интерфейс или интерфейсы локальной площадки FGT]
        set dstintf "CATO_Cloud_MK21" #[Удаленная зона VPN Cato Networks или интерфейсы VPN]
        set srcaddr "all" #[Лучшие практики – фильтровать по локальному адресу / группе]
        set dstaddr "all" #[Лучшие практики – фильтровать по адресу Cato / группе]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Не нужно в более новых версиях FortiOS]
        set comments "Трафик от локальной сети к основному IPSec Cato"
    next
    edit #[Локальный ID правила FGT]
        set name "From_Cato_Secondary_IPsec"
        set srcintf "CATO_Cloud_MK22" #[Удаленная зона VPN Cato Networks или интерфейсы VPN]
        set dstintf "internal_LAN" #[Сетевой интерфейс или интерфейсы локальной площадки FGT]
        set srcaddr "all" #[Лучшие практики – фильтровать по адресу Cato / группе]
        set dstaddr "all" #[Лучшие практики – фильтровать по локальному адресу / группе]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Не нужно в более новых версиях FortiOS]
        set comments "Трафик от вторичного IPSec Cato"
    next
    edit #[Локальный ID правила FGT]
        set name "To_Cato_Secondary_IPsec"
        set srcintf "internal_LAN" #[Сетевой интерфейс или интерфейсы локальной площадки FGT]
        set dstintf "CATO_Cloud_MK22" #[Удаленная зона VPN Cato Networks или интерфейсы VPN] 
        set srcaddr "all" #[Лучшие практики – фильтровать по локальному адресу / группе]
        set dstaddr "all" #[Лучшие практики – фильтровать по адресу Cato / группе]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[Не нужно в более новых версиях FortiOS]
        set comments "Трафик от локальной сети к вторичному IPSec Cato"
    next
end

Настройка FortiOS с использованием GUI

Чтобы настроить FortiOS для подключения к IPsec IKEv2 сайту, инициированному через GUI:

  1. Настройка IPsec Настройки FortiOS:

    1. Перейдите в VPN > IPsec Мастер, введите имя VPN и выберите имя шаблона – Пользовательский. Нажмите Далее.

      image001.png

    2. На следующем экране настройте, как показано ниже:

      image002.png
      image003.png
      image004.png
      image005.png

  2. Настройка параметров Политика брандмауэра:

    Создайте Политика брандмауэра, чтобы разрешить трафик из и в IPsec сайт Cato. Перейдите в Политика > Объекты > Политика брандмауэра и нажмите Создать новый. Мы предлагаем разрешить весь трафик из всех сетей FW, но вы можете выбрать источник / назначение / сервисы, как вам угодно.

    image006.png

    Примечание: Обычно вам не нужно использовать NAT для вашего трафика.

  3. Настройка статических маршрутов:

    Наконец, добавьте маршрут из Сеть > Статические маршруты > Создать новый. Скомпилируйте его с Диапазон IP Cato, который вы хотите получить через IPsec соединение.

    image007.png

    1. Чтобы создать резервный туннель, повторите процесс (1. Создание соединения IPsec с другим IP Cato PoP / 2. Создание Политика для нового IPsec) и при переходе на этап маршрутизации установите приоритет / административное расстояние на более высокое число.

    2. Настроить параметры динамической маршрутизации для сайта в Приложение управления Cato. Определите Частные IP для Основной и Вторичный туннелей сайта.

      Если вы хотите настроить динамическую маршрутизацию в вашей среде, вам нужно будет пропустить шаг 4.

      image008.png

    3. Настроить Основные и Вторичные BGP настройки для сайта.

      image009.png

  4. Настроить параметры динамической маршрутизации в FortiGate GUI.

    1. Настроить каждое из интерфейсов с Cato и частными IP FortiGate и включите административный доступ для Ping:

      image011.png
      image012.png

    2. Перейдите в Сеть > BGP и создайте двух новых соседей, зеркально отражающих конфигурацию Cato:

      image013.png

    3. Настроить Local AS с одинаковыми настройками, как в Приложение управления Cato:

      image014.png

    4. Нажмите Сохранить.

      Вы увидите оба туннеля в Приложение управления Cato в Настройки Сайта > BGP, статус Установлено через входящее соединение на обоих соединениях IPsec:

      image015.png

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 0 из 0

0 комментариев