Site to site соединение между NSX Edge и FortiGate
Настроим подключение Site to site между NSX Edge версии не ниже 6.3.5 и FortiGate версии не ниже 6.0.2 Используются следующие данные в данном примере настройки:
- FortiGate public IP: 1.1.1.1
- FortiGate local subnet: 192.168.1.0/24
- NSX Edge public IP: 2.2.2.2
- NSX Edge local subnet: 192.168.2.0/24
Создаем настройку VPN на стороне NSX Edge
- Зайдите в консоль NSX и нажмите на Networking.
- Нажмите на Edge Gateway, который Вы хотите подключить по VPN.
- Нажмите на выпадающее меню Actions в правом верхнем углу и выберите IPSEC VPN.
- Нажмите на Add Tunnel в окне конфигурации IPSEC VPN.
- Введите наименование и описание тоннеля VPN.
- Выберите внутренние подсети, подключенные к NSX Edge
и введите подсети со стороны FortiGate, которые будут доступны по VPN.
- Выберите Local Endpoint, который будет подключен к NSX Edge.
Local ID это внешний IP адрес NSX Edge. Введите внешний Peer IP адрес от FortiGate.
- Выберите Encryption Protocol (по умолчанию: AES256).
Введите Pre-Shared Key для VPN тоннеля. Укажите MTU (по умолчанию: 1500).
- Нажмите на кнопку Add VPN Tunnel
и не забудьте поставить галочку Enabled. Нажмите Submit и ждите пока не появится зеленая галочка.
После этого нажмите на зеленую галочку для завершения настройки.
Настройка VPN на стороне FortiGate, через GUI
- Создаем тоннель IPsec. Выбираем секцию VPN в левой колонке.
Выбираем IPsec Tunnels. Нажимаем на кнопку Create New вверху экрана. - Вписываем наименование VPN тоннеля. Выбираем Template Type как Custom.
- Настраиваем VPN тоннель. Указываем внешний IP адрес со стороны NSX Edge. Отключите Local Gateway, Mode Config и NAT Traversal.
Установите Authentication Method в режим Pre-shared Key и введите его.
Установите IKE Version в 1. Установите Mode в Main.
Создайте Phase 1 Proposal с использованием AES256 иSHA1 с указанием Diffie-Hellman Group 14.
Установите Key Lifetime в 28800.
Создайте Phase 2 с локальной подсетью FortiGate в качестве Local Address и с локальной подсетью NSX Edge в качестве Remote Address.
Создайте Phase 2 Proposal с указанием AES256 иSHA1 с включенным PFS и указанием Diffie-Hellman Group 14.
Установите Key Lifetime в 3600.
- Создайте статический маршрут для трафика VPN.
Выберите раздел Network в левой колонке. Выберите Static Routes.
Нажмите на кнопку Create New наверху экрана.
Настройте статический маршрут.
Введите Destination как целевую подсеть, подключенную со стороны NSX Edge в VPN тоннеле.
Установите Interface в интерфейс тоннеля, созданный ранее.
Установите Status в Enabled.
- Создаем политику доступа для VPN трафика. Нажмите раздел Policy & Objects в левой колонке. Выберите IPv4 Policy.
Нажмите на кнопку Create New вверху экрана. - Настроим политику для входящего трафика VPN.
Введите наименование политики.
Выберите интерфейс, созданный ранее, как Incoming Interface.
Установите в качестве Outgoing Interface LAN порт FortiGate.
Установите в качествеSource подсеть со стороны NSX Edge с той стороны VPN тоннеля.
Установите в качестве& Destination локальную подсеть со стороны FortiGate.
Установите Service как ALL. Выберите Action как ACCEPT.
Отключите NAT.
- Настроим политику для исходящего VPN трафика.
Введите наименование политики.
Укажите Incoming Interface как LAN порт FortiGate.
Установите в качестве Outgoing Interface интерфейс тоннеля, созданный ранее.
Выберите Source как подсеть со стороны FortiGate.
Установите в качестве Destination подсеть со стороны NSX Edge с той стороны VPN тоннеля.
Укажите Service как ALL.
Укажите Action как ACCEPT.
Отключите NAT.
Создание VPN тоннеля на FortiGate через CLI - Создаем объекты для локальной и удаленной подсетей.
config firewall address edit "local_subnet" set subnet 192.168.1.0 255.255.255.0 next edit "remote_subnet" set subnet 192.168.2.0 255.255.255.0 next end
- Настраиваем Phase 1 для VPN тоннеля.
config vpn ipsec phase1-interface edit "VPN to NSX Edge" set interface "port1" set keylife 28800 set peertype any set proposal aes256-sha1 set dhgrp 14 set nattraversal disable set remote-gw 2.2.2.2 set psksecret [key] next end
- Настраиваем Phase 2 для VPN тоннеля.
config vpn ipsec phase2-interface edit "VPN to NSX Edge" set phase1name "VPN to NSX Edge" set proposal aes256-sha1 set dhgrp 14 set keylifeseconds 3600 set src-subnet 192.168.1.0 255.255.255.0 set dst-subnet 192.168.2.0 255.255.255.0 next end
- Создаем статический маршрут для VPN трафика.
config router static edit 2 set dst 192.168.2.0 255.255.255.0 set device "VPN to NSX Edge" next end
- Создаем политики для входящего и исходящего VPN трафика.
config firewall policy edit 1 set name "vpn_inbound" set srcintf "VPN to NSX Edge" set dstintf "port2" set srcaddr "remote_subnet" set dstaddr "local_subnet" set action accept set status enable set schedule "always" set service "ALL" next edit 2 set name "vpn_outbound" set srcintf "port2" set dstintf "VPN to NSX Edge" set srcaddr "local_subnet" set dstaddr "remote_subnet" set action accept set status enable set schedule "always" set service "ALL" next end
Проверка статуса VPN подключения
Проверяем статус VPN подключения в консоли NSX: - Логинимся в консоль и нажимаем на Networking.
- Нажмите на Edge Gateway Вашего VPN тоннеля.
- Нажмите на выпадающее меню Actions в правом верхнем углу и выберите пункт IPSEC VPN.
- Проверьте, что VPN тоннель находится в статусе Enabled и Tunnel Status находится в состоянии Up.
Проверяем статус VPN подключения на FortiGate через GUI: - Выберите раздел VPN в левой колонке. Нажмите на IPsec Tunnels.
Для Вашего VPN тоннеля в колонке Status должно быть написано Up.
- Выберите раздел Policy & Objects в левой колонке.
Нажмите на IPv4 Policy. Вы должны видеть ранее созданные политики для Вашего VPN тоннеля.
Колонка Bytes показывает объем проходящего трафика, подпадающего под конкретное правило.
- Нажмите на раздел Log & Report в левом меню.
Выберите пункт VPN Events. Вы увидите все события, относящиеся к VPN тоннелю.
Там должны присутствовать сообщения об успешных событиях Phase 1 иPhase 2 для этого VPN тоннеля.
Проверка статуса VPN подключения на FortiGate через CLI: - Проверка общего состояния VPN тоннеля на FortiGate.
FGVM01 # get vpn ipsec tunnel summary 'VPN to NSX Edge' 2.2.2.2:0 selectors(total,up): 1/1 rx(pkt,err): 756/0 tx(pkt,err): 756/0
- Проверка детальной статистики VPN тоннеля на FortiGate.
FGVM01 # get vpn ipsec tunnel details
gateway name: 'VPN to NSX Edge' type: route-based local-gateway: 1.1.1.1:0 (static) remote-gateway: 2.2.2.2:0 (static) mode: ike-v1 interface: 'port1' (3) rx packets: 765 bytes: 116280 errors: 0 tx packets: 765 bytes: 64260 errors: 0 dpd: on-demand/negotiated idle: 20000ms retry: 3 count: 0 selectors name: 'VPN to NSX Edge' auto-negotiate: disable mode: tunnel src: 0:192.168.1.0/255.255.255.0:0 dst: 0:192.168.2.0/255.255.255.0:0 SA lifetime/rekey: 3600/2959 mtu: 1438 tx-esp-seq: 2e7 replay: enabled inbound spi: 788f302f enc: aes-cb 93b1e0816f0bade22604838d02f14fe1a5e52a322a7074af9aca2cc008b9d785 auth: sha1 ffcc03adef239383fd30f498623cf8b7e94a3723 outbound spi: da92f5fe enc: aes-cb 4858c15a42c8dfda8833a631f26bd3b5da451ff857a7d733a6688fe614b5c16c auth: sha1 514b25f1ac83a1ef813dfb76064851e969a18693 SA lifetime/rekey: 3600/2917 mtu: 1438 tx-esp-seq: 18 replay: enabled inbound spi: 788f302e enc: aes-cb ea5ab3e2aa6d2796a621dd368e0a4fd9d6d65a13f698a4ca0d0cb7d328968b0d auth: sha1 7cdfd2a462ce6ff6d8cde6c50627cc39cc67ff8d outbound spi: a41c9f8e enc: aes-cb f71014a53e547923f49c0c917d77064391146dd4a2e6c467a9ee339895ade5e3 auth: sha1 9a08b103b4064ef14ddebc1c91131eb3022a9e75
Прохождение трафика через созданный VPN тоннель можно проверить с помощью пинга удаленного оборудования.
|
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо зайти на сайт под своим именем.
Наверх
