Fortigate VPN'in Checkpoint NGX Cihazıyla Birlikte Çalı...

Konu başlatıcı

Açıklama

Bu makale bir FortiGate birimindeki IPSec VPN'in bir Checkpoint NGX
firewall VPN'le birlikte çalışmasını açıklamaktadır. Konfigürasyon, FortiOS
v3.0'daki yeni bir özellik olan arabirim tabanlı VPN kullanmaktadır.

FortiGate biriminin ardındaki kullanıcılar Checkpoint-korumalı ağdaki
herhangi bir hostla iletişim kurabilirler. Users on the Checkpoint ağındaki
kullanıcılar FortiGate biriminin ardındaki özel ağdaki bir sunucuya erişim
sağlayabilirler.

Bileşenler

FortiOS v3.0 firmware'lı FortiGate birimi
Checkpoint NGX firewall cihazı

Önkoşullar

FortiGate birimi NAT modunda
olmalıdır.

VPN Phase 1'i konfigüre etmek

Önce IPSec VPN phase 1'i konfigüre edin. Sanal IPSec arabirimi internete
bağlanan fiziksel adreste oluşturulur.

Web tabanlı yönetici kullanarak konfigüre etmek için:

VPN > IPSec > Auto-Key'e gidin ve Phase'i seçin. Aşağıdakileri
girin:

Name	VPN name: toSite2
Remote Gateway	Static IP Address
IP Address	Checkpoint cihazının genel IP adresi
Local Interface	Uzak VPN'e bağlanan arabirim: port2
Authentication Method	Preshared Key
Pre-shared Key	Checkpoint cihazında konfigüre edilen preshared key

Advanced'i seçin ve aşağıdakileri girin:

Enable IPSec Interface Mode	Enable
P1 Proposal	1 - Encryption DES, Authentication MD5
DH Group	2
Keylife	86400
Nat-traversal	Enable
Dead Peer Detection	Enable

OK'i seçin.

CLI'yi kullanarak konfigüre etmek için:

config vpn ipsec phase1-interface

edit
"toSite2"

set interface
"port2"

set dpd
enable

set
nattraversal enable

set dhgrp 2

set proposal
des-md5

set keylife
86400

set
remote-gw nnn.nnn.nnn.nnn

set
psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

end

VPN
Phase 2'yi konfigüre etme

Daha sonra IPSec VPN phase 2'i konfigüre edin. Checkpoint VPN, VPN sadece
bir adresten bağlantıları kabul eder: 192.168.197.168. O adrese kaynak
seçicisini kurun. Hedef Checkpoint cihazı ardındaki özel ağdır.

Web-tabanlı yönetici kullanarak konfigüre etmek için:

VPN > IPSec > Auto-Key'e gidin ve Phase 2'yi seçin.
Aşağıdakileri girin:

Name	VPN Phase 2 konfigürasyonu için bir isim: toSite2_p2
Phase 1	Phase 1 konfigürasyon adı: toSite2

Advanced'i seçin ve aşağıdakileri girin:

P2 Proposal	1 - Encryption 3DES, Authentication MD5
Enable Replay Detection	Enable
DH Group	1
Autokey Keep Alive	Enable
Source Address	192.168.197.168
Destination Address	10.185.111.0 255.255.255.0

OK'i seçin.

CLI kullanarak konfigüre etmek için:

config vpn ipsec phase2-interface

edit
"toSite2_p2"

set dhgrp 1

set
keepalive enable

set
phase1name "toSite2"

set proposal
3des-md5

set replay
enable

set
src-addr-type ip

set
dst-subnet 10.185.111.0 255.255.255.0

set
src-start-ip 192.168.197.168

end

Firewall
Adreslerini konfigüre etmek

VPN'in her iki ucundaki özel ağlar için firewall adresleri oluşturun. "LocalLAN"
FortiGate birimi "Site2_net" Checkpoint cihazı ardındaki ağdır.

Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Address'e gidin ve Create New'u seçin.
Aşağıdakileri girin:

Address Name

Adres için bir isim.
FortiGate birimi ardındaki ağ için "LocalLAN" yazın.
Checkpoint cihazının ardındaki ağ için "Site2_net" yazın.

Type

Subnet/IP Range

Subnet/IP Range

Network adresi ve subnet mask
LocalLAN için "192.168.100.0 255.255.255.0"

Site2_net için "10.185.111.0 255.255.255.0"

OK.'i seçin.

CLI kullanarak konfigüre etmek için:

config firewall address

edit
"LocalLAN"

set subnet
192.168.100.0 255.255.255.0

edit
"Site2_net"

set subnet
10.185.111.0 255.255.255.0

end

Bir
Firewall Virtual IP Pool konfigüre etmek

Checkpoint cihazı VPN peer'ların sadece 192.168.197.168 IP adresinden
bağlanmasına izin verir. Using the
FortiGate birimi IP Pool özelliğini kullanarak kullanıcının kaynak IP adresini
Checkpoint cihazı için kabul edilebilir olan 192.168.197.168 adresiyle değiştirebilirsiniz.

Web tabanlı yönetici kullarak konfigüre etmek için:

Firewall > Virtual IP > IP Pool'a gidin ve Create New'u seçin.
Aşağıdakileri girin:

Name	IP Pool için bir isim: Site2-Out
Interface	Uzak VPN peer'a bağlanan IPSec arabirimi: toSite2
IP Range/Subnet	IP Pool'un IP adresi alanı: 192.168.197.168

OK'i seçin.

CLI'yi kullanarak konfigüre etmek için:

config firewall ippool

edit
"Site2-Out"

set endip
192.168.197.168

set
interface "toSite2"

set startip
192.168.197.168

end

Bir
Firewall Virtual IP adresi konfigüre etmek

Checkpoint cihazı ağındaki host'ların VPN aracılığıyla sadece 192.168.197.168
IP adresine bağlanmalarına izin verir. Using the FortiGate Virtual IP (VIP) özelliğini
kullanarak bu adresi FortiGate birimi ardındaki ağdaki bir sunucunun adresine
dönüştürebilirsiniz.

Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Virtual IP'a gidin ve Create New'u seçin..
Aşağıdakileri girin:

Name	Sanal IP adresi için bir isim: Static_for_Site2peer
External Interface	FortiGate biriminin genel arabirimi: port2
Type	Static NAT
External IP Address/Range	Değiştirilecek harici adres: 192.168.197.168
Mapped IP Address/Range	Yerel ağda kullanılacak Sanal IP adresi: 192.168.100.173

OK'i seçin.

CLI kullanarak konfigüre etmek:

config firewall vip

edit
"Static_for_Site2peer"

set extip
192.168.197.168

set extintf
"toSite2"

set mappedip
192.168.100.173

end

Outgoing
Firewall Policy konfigüre etmek

Outgoing policy FortiGate birimi ardındaki ağdaki host'ların Checkpoint
cihazının ardındaki host'larla iletişim kurmasını sağlar. Kural, Checkpoint
cihazı tarafından kabul edilebilir şekilde kaynak adresin yerine geçmesi için oluşturduğunuz
IP Pool'u kullanır.

Web tabanlı yönetici kullanarak konfigüre etmek:

Firewall > Policy'e gidin ve Create New'u seçin.
Aşağıdakileri girin OK'i seçin:

Source Interface/Zone	Yerel ağa bağlı arabirim: port1
Source Address	Yerel ağ için firewall adresi: LocalLAN
Destination Interface/Zone	Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2.
Destination Address	Uzak ağ için firewall adresi: Site2_net
Schedule	Always
Service	ANY
Action	ACCEPT
NAT	Enable
Dynamic IP Pool	Enable ve IP Pool'u seçin: Site2-Out
Log Allowed Traffic	Enable

CLI kullanarak konfigüre etmek için:

config firewall policy

edit 3

set srcintf
"port1"

set dstintf
"toSite2"

set srcaddr
"LocalLAN"

set dstaddr
"Site2_net"

set action
accept

set schedule
"always"

set service
"ANY"

set
logtraffic enable

set nat
enable

set ippool
enable

set poolname
"Site2-Out"

end

Incoming Firewall Policy'i konfigüre
etmek

Incoming policy Checkpoint cihazının ardındaki ağdan FortiGate birimi
ardındaki ağa bağlantılara izin verir. Ancak Checkpoint cihazı host'larının
sadece tek bir adrese bağlanmasına izin verir: 192.168.197.168. Daha önceden
belirlediğiniz VIP bu adresi FortiGate biriminin ardındaki ağdaki sunucunun
adresine çevirir.

Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Policy'e gidin ve Create New'u seçin.
Aşağıdakiler girin ve OK'i seçin:

Source Interface/Zone	Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2
Source Address	Uzak ağın firewall adresi: Site2_net
Destination Interface/Zone	Yerel ağa bağlı arabirim: port1
Destination Address	The VIP that maps the fixed Checkpoint appliance destination address to one that is on our local subnet: Static_for_Site2peer
Schedule	Always
Service	ANY
Action	ACCEPT
Log Allowed Traffic	Enable