FortiGate v3.0 VPN Linksys BEFVP41 ile Birlikte Çalışırlığı

Bu yazı FortiGate birimindeki IPSec VPN’in Linksys BEFVP41 Router’daki VPN özelliğiyle birlikte çalışması için nasıl konfigüre edileceğini anlatmaktadır.

Bileşenler
 

  • FortiOS v3.0 firmware’lı FortiGate birimi
  • Linksys BEFVP41 Router


Ağ Diyagramı



 
FortiGate VPN Phase 1’i Konfigüre Etme

Web tabanlı yönetici kullanarak konfigüre etmek için:

Go to VPN > IPSec > Auto-Key and select Phase1.

2. Aşağıdakileri girin:


Name   
VPN adı: 4Linksys


Remote Gateway
Dialup User


Local Interface
İnternete bağlayan arabirimi seçin. Örneğin, WAN1.


Mode
Aggressive


Authentication Method
Preshared Key


Pre-shared Key
Linksys router’da konfigüre edilen preshared key’i girin.
 
Advanced’i seçin ve aşağıdakileri girin:

Enable IPSec Interface Mode
Bu kutucuğun işaretini kaldırın.


P1 Proposal
1 - 3DES SHA1
2 - 3DES MD5


DH Group   
2


Nat-traversal
Enable


Dead Peer Detection
Enable
 
OK’i seçin.

CLI kullanarak konfigüre etmek için:


config vpn ipsec phase1
edit "4Linksys"
set type dynamic
set interface "wan1"
set dpd enable
set nattraversal enable
set dhgrp 2
set proposal 3des-sha1 3des-md5
set mode aggressive
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end
 
FortiGate VPN Phase 2’i Konfigüre Etme

Web tabanlı yönetici kullanarak konfigüre etmek için:

VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.
Aşağıdakileri girin:

Name
VPN Phase 2 konfigürasyonu için bir isim: 4Linksys_p2

Phase 1
Phase 1 konfigürasyon adı: 4Linksys
 
Advanced’i seçin ve aşağıdakileri girin:

P2 Proposal   
1 - 3DES SHA1
2 - 3DES MD5


Enable Replay Detection
Enable


DH Group   
2

OK’i seçin.

CLI kullanarak konfigüre etmek için:


config vpn ipsec phase2
edit "4Linksys_p2"
set dhgrp 2
set pfs enable
set phase1name "4Linksys"
set proposal 3des-sha1 3des-md5
set replay enable
end
 
FortiGate Firewall Adreslerini Konfigüre Etme

VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun. "LocalLAN" FortiGate birimi ardındaki ağdır ve  "Linksys_net" Linksys router ardındaki ağdır.

Web tabanlı yönetici kullanarak konfigüre etmek için:
Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:

Address Name
LocalLAN


Type   
Subnet/IP Range


Subnet/IP Range
10.166.0.0 255.255.255.0
 
OK’i seçin.

Önceki adımları "Linkys_net" adresi için de tekrarlayın: "192.168.1.0 255.255.255.0".


CLI kullanarak konfigüre etmek için:


config firewall address
edit "LocalLAN"
set subnet 10.166.0.0 255.255.255.0
next
edit "Linkys_net"
set subnet 192.168.1.0 255.255.255.0
end
 
FortiGate Firewall Policy’i Konfigüre Etme

Firewall policy, Linksys router ardındaki host’ların FortiGate birimi ardındaki ağdaki host’larla bağlantı başlatmasını sağlar.

Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Policy’e gidin ve Create New’u seçin.
Aşağıdakileri girin:


Source Interface/Zone
Yerel ağa bağlayan arabirim: internal


Source Address
Yerel ağın firewall adresi: LocalLAN


Destination Interface/Zone
Uzak ağa bağlı arabirim: WAN1


Destination Address

Uzak ağın firewall adresi: Linksys_net


Schedule

Always


Service
ANY


Action
IPSEC


VPN Tunnel
4Linksys

OK’i seçin.

CLI kullanarak konfigüre etmek için:


config firewall policy
edit 3
set srcintf internal
set dstintf wan1
set srcaddr LocalLAN
set dstaddr Linksys_net
set action ipsec
set vpntunnel 4Linksys
set inbound enable
set schedule "always"
set service "ANY"
end
 
Linksys Router’ı Konfigüre Etme
Linksys router’ı konfigüre etmek için:

Linksys router’ın web tabanlı uygulamasına giriş yapın.
VPN sekmesini seçin ve aşağıdaki bilgileri girin:

Select Tunnel Entry:
Kullanılmamış bir tünel kaydı seçin.


VPN Tunnel:
Enabled

Tunnel Name:
Bir isim girin


Local Secure Group
Subnet’i seçin.


IP
192.168.1.0


Mask
255.255.255.0


Remote Security Gateway
IP Adresi seçin.


IP Address
FortiGate biriminin genel IP adresi. Bu örnekte WAN1 ağ arabiriminin adresi.
 

Encryption
3DES


Authentication
SHA


Key Management
Select Auto (IKE)


PFS
Enabled


Pre-shared Key
FortiGate birimi  VPN phase 1 konfigürasyonunda girdiğiniz preshared key’i girin.


Key Lifetime
3600 seconds
 
Save Settings’i seçin.
Advanced Setting’i seçin ve aşağıdaki bilgileri girin:

 
Phase 1 Operation Mode
Aggressive mode’u seçin.


Phase 1 Proposal
Encryption: 3DES
Authentication: SHA
Group: 1024-bit
Key Lifetime: 3600 seconds


Phase 2 Proposal
Encryption: 3DES
Authentication: SHA
PFS: ON
Group: 1024-bit
Key Lifetime: 3600 seconds
 

Save Settings’i seçin.