GNU/Linux >> Belajar Linux >  >> Linux

Buat koneksi VPN IPsec situs-ke-situs antara Vyatta dan FortiGate

Artikel ini menunjukkan cara membuat koneksi jaringan pribadi virtual (VPN) Keamanan Protokol Internet (IPsec) situs-ke-situs antara router Vyatta® (Rackspace) dan FortiGate® menggunakan nama Domain Name System (DDNS) dinamis. Mengkonfigurasi VPN IPsec antara dua titik akhir biasanya memerlukan alamat Internet Protocol (IP) astatic di kedua ujungnya. Namun, perangkat server Vyatta memiliki opsi untuk mengonfigurasi nama DDNS untuk mengonfigurasi aVPN.

Tabel berikut menunjukkan sisi kiri sebagai titik A (alat Rackspace Vyattarouter) dan sisi kanan (FortiGate dengan alamat IP adinamis dan nama DDNS) sebagai titik B:

Titik A (router Vyatta) Titik B (FortiGate dengan alamat IP dinamis dan nama DDNS)
Perangkat :Alat router Vyatta di Rackspace
eth0 :134.213.135.XXX (IP publik)
eth1 :10.181.200.XXX (IP pribadi) 		Perangkat :Perkuat firewall
wan1 :IP Dinamis dengan nama DDNS forti.fortiddns.com
internal :192.168.10.0/24 (jaringan area lokal (LAN) subnet)

Setelah Anda berhasil membuat koneksi terowongan VPN IPsec situs-ke-situs antara Vyatta dan FortiGate, Anda dapat melakukan ping ke alamat IP pribadi perute Vyatta (seperti 10.181.200.XXX) dari alamat IP internal mana pun (seperti 192.168.1.7).

FortiGate memungkinkan Anda membuat nama DDNS. Untuk mempelajari cara mengonfigurasi nama DDNS di FortiGate, lihat Cara menyiapkan DDNS di perangkat FortiGate.

Langkah 1:Konfigurasi VPN IPsec di alat router Vyatta

Gunakan langkah-langkah berikut untuk mengonfigurasi IPsec VPN di perangkat router Vyatta:

  1. Masuk ke server Vyatta dengan menggunakan Secure Shell (SSH), seperti yang ditunjukkan pada contoh berikut:

    $ssh vyatta@cloud-server-09
vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details
$configure                                                                                         //Move to configuration mode
vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0
[edit]
vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces
+interface eth0
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600
[edit]

  2. Konfigurasikan kunci koneksi IPsec dan pengaturan DDNS, seperti yang ditunjukkan pada contoh berikut:

    vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name
[edit]
vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set default-esp-group ESP-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set ike-group IKE-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate
vyatta@cloud-server-09# top
vyatta@cloud-server-09# commit

vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

Langkah 2:Konfigurasikan IPsec VPN di firewall FortiGate

Gunakan langkah-langkah berikut untuk mengonfigurasi IPsec VPN di firewall FortiGate:

  1. Masuk ke firewall FortiGate sebagai pengguna administratif.

  2. Pilih VPN> IPsec> Terowongan> Buat baru> Terowongan VPN Khusus .

  3. Di Nama bidang, masukkan RSVPN .

  4. Pilih Alamat IP statis dan masukkan alamat IP publik alat Vyattarouter di Alamat IP kolom.

  5. Dalam Otentikasi bagian, pilih Kunci yang dibagikan sebelumnya dan masukkan kunci sebagai test_test_111 . Kunci yang dibagikan sebelumnya harus sama di Vyatta dan FortiGate.

  6. Pastikan versi Internet Key Exchange (versi IKE ) adalah 1 dan Mode disetel ke Utama .

  7. Anda harus menggunakan enkripsi dan pengaturan berikut:

    • Standar Enkripsi Lanjutan 128 (AES128), dengan autentikasi disetel keSecure Hash Algorithm 1 (SHA1)
    • AES256, dengan autentikasi disetel ke SHA1
    • Triple DES (3DES), dengan autentikasi disetel ke message digestalgorithm 5 (MD5)

    Anda juga harus menggunakan setelan berikut:

    • Grup Diffie-Hellman (DH) :14,5, dan 2
    • Masa pakai kunci :3600 detik

  8. Alamat Lokal adalah alamat LAN. Alamat Jarak Jauh adalah IP subnet pribadi alat Vyatta. Gunakan enkripsi dan pengaturan berikut:

    • AES128, dengan autentikasi disetel ke SHA1
    • AES256, dengan autentikasi disetel ke SHA1
    • 3DES, dengan autentikasi disetel ke MD5

    Anda juga harus menggunakan setelan berikut:

    • Grup DH :14,5, dan 2
    • Seumur Hidup Kunci :3600 detik

  9. Pilih Jaringan dan tambahkan rute statis 10.181.192.0/19 (subnet alat Vyatta).

  10. Tambahkan kebijakan firewall yang mengizinkan lalu lintas antara dua subnet pribadi.

  11. Terakhir, pilih VPN> Monitor> IPsec Monitor dan verifikasi bahwaStatus ditampilkan sebagai NAIK .


Linux

  1. Konfigurasi VPN IPsec

  2. Perbedaan Antara Shell Login dan Shell Non-login?

  3. Perbedaan Antara 2>&-, 2>/dev/null, |&, &>/dev/null Dan>/dev/null 2>&1?

  1. Apa Perbedaan Antara Sudo Su – Dan Sudo Su —?

  2. Perbedaan Antara Eot dan Eof?

  3. Perbedaan Antara [0-9], [[:digit:]] Dan D?

  1. Perbedaan Antara [[ $a ==Z* ]] Dan [ $a ==Z* ]?

  2. Buat Titik Akses Nirkabel Dan Bagikan Koneksi Internet Dengan Nmcli?

  3. Cara mengatur koneksi Wifi-Direct antara Android dan Linux