GNU/Linux >> Linux Esercitazione >  >> Linux

Crea una connessione VPN IPsec da sito a sito tra Vyatta e FortiGate

Questo articolo illustra come creare una connessione VPN (Virtual Private Network) da sito a sito IPsec tra un router Vyatta® (Rackspace) e FortiGate® utilizzando un nome DDNS (Domain Name System) dinamico. La configurazione di una VPN IPsec tra due endpoint in genere richiede un indirizzo IP (Internet Protocol) astatico su entrambe le estremità. Tuttavia, il serverappliance Vyatta ha un'opzione per configurare un nome DDNS per configurare una VPN.

La tabella seguente mostra il lato sinistro come punto A (l'appliance Rackspace Vyattarouter) e il lato destro (FortiGate con indirizzo IP adinamico e nome DDNS) come punto B:

Punto A (router Vyatta) Punto B (FortiGate con indirizzo IP dinamico e nome DDNS)
Dispositivo :Dispositivo router Vyatta su Rackspace
eth0 :134.213.135.XXX (IP pubblico)
eth1 :10.181.200.XXX (IP privato) 		Dispositivo :firewall fortificato
wan1 :IP dinamico con il nome DDNS forti.fortiddns.com
interno :192.168.10.0/24 (sottorete della rete locale (LAN))

Dopo aver stabilito correttamente una connessione tunnel VPN IPsec da sito a sito tra Vyatta e FortiGate, puoi eseguire il ping dell'indirizzo IP privato del router Vyatta (come 10.181.200.XXX) da qualsiasi indirizzo IP interno (come 192.168.1.7).

FortiGate consente di creare un nome DDNS. Per informazioni su come configurare un nome DDNS in FortiGate, vedere Come configurare DDNS su un dispositivo FortiGate.

Passaggio 1:configura la VPN IPsec nell'appliance router Vyatta

Utilizzare i seguenti passaggi per configurare la VPN IPsec nell'appliance router Vyatta:

  1. Accedi al server Vyatta utilizzando Secure Shell (SSH), come mostrato nell'esempio seguente:

    $ssh vyatta@cloud-server-09
vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details
$configure                                                                                         //Move to configuration mode
vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0
[edit]
vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces
+interface eth0
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600
[edit]

  2. Configura la chiave di connessione IPsec e le impostazioni DDNS, come mostrato nell'esempio seguente:

    vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name
[edit]
vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set default-esp-group ESP-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set ike-group IKE-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate
vyatta@cloud-server-09# top
vyatta@cloud-server-09# commit

vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

Fase 2:configura la VPN IPsec nel firewall FortiGate

Utilizzare i seguenti passaggi per configurare la VPN IPsec nel firewall FortiGate:

  1. Accedi al firewall FortiGate come utente amministrativo.

  2. Seleziona VPN> IPsec> Tunnel> Crea nuovo> Tunnel VPN personalizzato .

  3. Nel Nome campo, inserisci RSVPN .

  4. Seleziona Indirizzo IP statico e inserisci l'indirizzo IP pubblico dell'appliance Vyattarouter in Indirizzo IP colonna.

  5. Nella Autenticazione sezione, seleziona Chiave precondivisa e inserisci la chiave come test_test_111 . La chiave precondivisa dovrebbe essere la stessa in Vyatta e FortiGate.

  6. Assicurati che la versione di Internet Key Exchange (versione IKE ) è 1 e la Modalità è impostato su Principale .

  7. È necessario utilizzare le seguenti crittografie e impostazioni:

    • Advanced Encryption Standard 128 (AES128), con autenticazione impostata su Secure Hash Algorithm 1 (SHA1)
    • AES256, con autenticazione impostata su SHA1
    • Triple DES (3DES), con autenticazione impostata su message digestalgorithm 5 (MD5)

    È inoltre necessario utilizzare le seguenti impostazioni:

    • Gruppi Diffie-Hellman (DH) :14,5 e 2
    • Durata della chiave :3600 secondi

  8. L'indirizzo locale è l'indirizzo della LAN. L'Indirizzo remoto è l'IP della sottorete privata dell'appliance Vyatta. Utilizza le seguenti crittografie e impostazioni:

    • AES128, con autenticazione impostata su SHA1
    • AES256, con autenticazione impostata su SHA1
    • 3DES, con autenticazione impostata su MD5

    È inoltre necessario utilizzare le seguenti impostazioni:

    • Gruppi DH :14,5 e 2
    • Durata chiave :3600 secondi

  9. Seleziona Rete e aggiungi route statica 10.181.192.0/19 (la sottorete dell'appliance Vyatta).

  10. Aggiungi un criterio firewall che consenta il traffico tra le due sottoreti private.

  11. Infine, seleziona VPN> Monitor> IPsec Monitor e verifica che lo Stato viene visualizzato come SU .


Linux

  1. Configurazione VPN IPsec

  2. Differenza tra 2>&-, 2>/dev/null, |&, &>/dev/null E>/dev/null 2>&1?

  3. Qual è la differenza tra Sudo Su – e Sudo Su –?

  4. Differenza tra Eot ed Eof?

  5. Come impostare una connessione Wi-Fi Direct tra Android e Linux

Stabilire una connessione SSH tra Windows e Linux

Come creare un peering VPC tra 2 VPC su AWS

Crea database e tabelle MySQL usando PHP in XAMPP

Differenza tra apt e apt-get spiegato

Come creare il tuo server VPN IPsec in Linux

Vim vs Vi:somiglianze e differenze tra VIM e VI?