FortiGate ve Cisco PIX VPN’in Birlikte Çalışması

Bu yazı FortiGate birimindeki bir IPSec VPN’in Cisco PIX firewall’la çalışması için nasıl yapılandırılması gerektiğini açıklamaktadır.
 
Bileşenler
 

  • FortiOS v3.0 firmware tabanlı FortiGate birimi, MR5 Patch 2 veya daha ilerisi
  • IOS versiyon 6.3(1) veya 6.3(3) tabanlı Cisco PIX

 
Ağ Diyagramı



 
Önkoşullar

  • FortiGate birimi NAT modunda olmalıdır.


VPN Phase 1’i Konfigüre Etme


Web-tabanlı yönetici ile konfigüre etmek için:

 VPN > IPSec > Auto-Key’e gidin ve Phase 1’i seçin.
 Aşağıdakileri girin:

Name
VPN adı. Örneğin, GW-FG-PIX.


Remote Gateway
Static IP Address


IP Address
Cisco cihazının genel IP adresi.
Örneğin, 203.200.216.194


Local Interface
Uzak VPN’e bağlanan arabirim: WAN1


Mode   
Main (default)


Authentication Method
Preshared Key


Pre-shared Key
Cisco cihazında konfigüre edilen preshared key.

Advanced’i seçin ve aşağıdakileri girin:

Enable IPSec Interface Mode
Disable


P1 Proposal
1 - Encryption 3DES, Authentication SHA1 (default)
proposal 2’yi silin.


DH Group
2


Keylife
86400 (default)


Nat-traversal
Disable


Dead Peer Detection
Disable

OK’i seçin.

CLI kullanarak konfigüre etmek için:

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config vpn ipsec phase1
edit "GW-FG-PIX"
set interface wan1
set dpd disable
set dhgrp 2
set proposal 3des-sha1
set keylife 86400
set remote-gw 203.200.216.194
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end
 
VPN Phase 2’yi Konfigüre Etme

IPSec VPN phase 2’yi konfigüre ettiğinizde source selector’u FortiGate biriminin arkasındaki özel ağa ve destination selector’u Cisco cihazının ardındaki özel ağa kurarsınız.
Web-tabanlı yönetici kullanarak konfigüre etmek için:

1. VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.
 Aşağıdakileri girin:

Name
VPN Phase 2 konfigürasyonu için bir isim. Örneğin, Tunnel-FG-PIX.


Phase 1
Phase 1 konfigürasyon adı: GW-FG-PIX

 Advanced’i seçin ve aşağıdakileri girin:

P2 Proposal
1 - Encryption 3DES, Authentication SHA1
Delete proposal 2


Enable replay detection 
Disable

Enable perfect forward secrecy
Disable


DH Group
5


Keylife
86400 seconds


Autokey Keep Alive
Enable


Source Address
10.1.4.0/24


Destination Address
192.192.192.0/24

OK’i seçin.

CLI ile:

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.

config vpn ipsec phase2
edit Tunnel-FG-PIX
set dhgrp 5
set keepalive enable
set phase1name GW-FG-PIX
set proposal 3des-sha1
set pfs disable
set replay disable
set keylife-type seconds
set keylifeseconds 86400
set src-addr-type subnet
set src-subnet 10.1.4.0 255.255.255.0
set dst-addr-type subnet
set dst-subnet 192.192.192.0 255.255.255.0
end

FortiGate Firewall Adreslerini Konfigüre Etme

VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun.
Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:

Address Name
Adres için bir isim. Örneğin:
FortiGate biriminin ardındaki ağ için "LocalLAN"
Cisco cihazının ardındaki ağ için  "Site2_net"
 

Type Subnet/IP Range
Subnet/IP Range
   

Ağ adresi ve subnet mask. Örneğin,
LocalLAN için "10.1.4.0 255.255.255.0" girin.
Site2_net için "192.192.192.0 255.255.255.0" girin.
OK’i seçin.

CLI ile:

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.


config firewall address
edit "LocalLAN"
set subnet 10.1.4.0 255.255.255.0
next
edit "Site2_net"
set subnet 192.192.192.0 255.255.255.0
end
 

 

FortiGate Firewall Policy Konfigüre Etme

IPSec firewall policy, FortiGate birimi ardındaki ağdaki hostlar ve Cisco cihazı ardındaki hostlar arasında her iki yönde iletişime izin verir.
Web tabanlı yönetici kullanarak konfigüre etmek için

    Firewall > Policy’ e gidin ve Create New’u seçin.
    Aşağıdakileri girin:

 
Source Interface/Zone
Yerel ağa bağlı arabiirm: internal.


Source Address
Yerel ağın firewall adresi: LocalLAN.


Destination Interface/Zone
Uzak ağa bağlayan arabirim: WAN1.


Destination Address
Uzak ağın firewall adresi: Site2_net.


Schedule
always


Service
ANY


Action
IPSEC


VPN Tunnel
GW-FG-PIX


Allow inbound
Enable


Allow outbound
Enable


Inbound NAT
Disable


Outbound NAT
Disable

OK’i seçin.

CLI ile:

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.


config firewall policy
edit 1
set srcintf internal
set dstintf wan1
set srcaddr LocalLAN
set dstaddr Site2_net
set action ipsec
set inbound enable
set outbound enable
set natinbound disable
set natoutbound disable
set schedule always
set service ANY
set vpntunnel GW-FG-PIX
end
 
Cisco Cihazını Konfigüre Etme

Bu Cisco PIX cihazı kendi CLI’si kullanılarak konfigüre.

Cisco PIX Phase 1’i konfigüre etmek için aşağıdaki komutları girin:
isakmp enable outside

isakmp key ******* address 61.95.205.173 netmask 255.255.255.255
isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400

Cisco PIX Phase 2’i konfigüre etmek için aşağıdaki komutları girin:

crypto ipsec transform-set fortinet esp-3des esp-sha-hmac
crypto map test 10 ipsec-isakmp
crypto map test 10 match address BGLR
crypto map test 10 set peer 61.95.205.173
crypto map test 10 set transform-set fortinet
cryto map test interface outside
crypto map test 10 set security-association lifetime seconds 86400


Ek Cisco PIX Kuralları

Erişim kontrol listesini (access control list - ACL) istenen VPN trafiğine ayarlayın ve NAT’a geçin:

access-list BGLR permit ip 192.192.192.0 255.255.255.0 10.1.4.0 255.255.255.0
nat (inside) 0 access-list BGLR
sysopt connection permit-ipsec
 
VPN’i test etme:

VPN’i uzak ağdan adresleri ping’leyerek test edebilirsiniz. Ayrıca VPN çalışmasını onaylamak için aşağıdaki komutları kullanabilirsiniz:
diag vpn tunnel list
   
On the FortiGate unit, lists operating VPN tunnels
show crypto isakmp sa
   
On the Cisco PIX appliance, shows the Phase 1 security associations
show crypto ipsec sa
   
On the Cisco PIX appliance, shows the Phase 2 security associations
 
Sorun Giderme FortiGate debug komutları
diag debug enable
diag debug appli ike 2
Phase 1 ve phase 2 görüşmelerini görüntüleyin


Cisco PIX debug komutları


debug crypto isakmp
IKE olayları hakkındaki mesajları görüntüler.
debug crypto ipsec
IPSec olayları hakkındaki bilgiyi görüntüler.