FortiGate ve Juniper SSG VPN Birlikte Çalışması

Bu yazı FortiGate birimindeki IPSec VPN’i Juniper Networks Secure Services Gateway (SSG) ile çalışmak üzere nasıl konfigüre edileceğini açıklamaktadır.  Burada verilen örnek route-tabanlıdır fakat kural tabanlı bir VPN’de mümkündür.
 
Bileşenler
 

 

  • FortiOS v3.0 firmware, MR5 veya daha ilerisi tabanlı FortiGate birimi
  • Versiyon 6.0.0r3.0 firmware tabanlı Juniper Networks SSG


 
Ağ Diyagramı

 
Önkoşullar

FortiGate birimi ve Juniper SSG birimi NAT modunda olmalıdır.

FortiGate VPN Phase 1’i Konfigüre Etme

Web-tabanlı yönetici kullanarak konfigüre etmek için:

VPN > IPSec > Auto-Key’ gidin ve Phase 1’i seçin.
Aşağıdakileri girin:

Name
VPN adı: örneğin, toSSG

Remote Gateway
Static IP Address

IP Address
Juniper cihazının genel IP adresi
örneğin, 172.30.69.108

Local Interface
Uzak VPN’e bağlanan arabirim: WAN1
 
Mode 
Main (default)

Authentication Method
Preshared Key


Pre-shared Key
Juniper cihazında konfigüre edilen preshared key
 
Advanced’i seçin ve aşağıdakileri girin:

Enable IPSec Interface Mode
Enable


P1 Proposal
1 - Encryption 3DES, Authentication SHA1 (default)
Delete proposal 2

DH Group
2

Keylife
28800

Nat-traversal
Enable

Dead Peer Detection
Enable
 
OK’i seçin.

CLI kullanarak konfigüre etmek için:

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz:

config vpn ipsec phase1-interface
edit "toSSG"
set interface wan1
set dpd enable
set dhgrp 2
set proposal 3des-sha1
set keylife 28800
set nattraversal enable
set remote-gw 172.30.69.108
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end

FortiGate VPN Phase 2’yi Konfigüre Etme

Web-tabanlı yönetici kullanarak konfigüre etmek için:

VPN > IPSec > Auto-Key’e gidin ve Phase 2’i seçin.
Aşağıdakileri girin:

Name
VPN Phase 2 konfigürasyonu için bir isim: örneğin, Tunnel-FG-SSG

Phase 1
Phase 1 konfigürasyon adı: toSSG
 
Advanced’i seçin ve aşağıdakileri girin:

P2 Proposal
1 - Encryption 3DES, Authentication SHA1
Delete proposal 2


Enable replay detection
Enable


Enable perfect forward secrecy
Enable


DH Group
2


Keylife
1800 seconds


Autokey Keep Alive
Disable
 
OK’i seçin.

CLI kullanarak konfigüre etme
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz:


config vpn ipsec phase2-interface
edit Tunnel-FG-SSG
set dhgrp 2
set keepalive disable
set phase1name toSSG
set proposal 3des-sha1
set pfs enable
set replay enable
set keylife-type seconds
set keylifeseconds 1800
end

FortiGate Firewall Adreslerini Konfigüre Etme
VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun.

Web-tabanlı yönetici kullanarak konfigüre etmek için:


Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:

Address Name
Adres için bir isim. Örneğin:
FortiGate birimi ardındaki ağ için "LocalLAN"
Juniper cihazı ardındaki ağ için "Site2_net"


Type
Subnet/IP Range


Subnet/IP Range
Ağ adresi ve subnet mask. Örneğin,
LocalLAN için "10.10.10.0 255.255.255.0" girin.
Site2_net için "192.168.2.0 255.255.255.0" girin.
 
OK’i seçin.

CLI kullanarak konfigüre etmek için:


Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz:


config firewall address
edit "LocalLAN"
set subnet 10.10.10.0 255.255.255.0
next
edit "Site2_net"
set subnet 192.168.2.0 255.255.255.0
end

FortiGate Outgoing Firewall Policy’i Konfigüre Etme

Outgoing policy FortiGate birimi ardındaki ağdaki hostların Juniper cihazı ardındaki hostlarla iletişim kurmasını sağlar.

Web-tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Policy’e gidin ve Create New’u seçin.
Aşağıdakileri girin ve OK’i seçin.

Source Interface/Zone
Yerel ağa bağlı arabirim: internal


Source Address
Yerel ağın firewall adresi: LocalLAN


Destination Interface/Zone
Uzak ağa bağlayan arabirim: WAN1


Destination Address
Uzak ağın firewall adresi: Site2_net


Schedule
always


Service
ANY


Action
ACCEPT


CLI kullanarak konfigüre etmek için:

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz:

config firewall policy
edit 1
set srcintf internal
set srcaddr LocalLAN
set dstintf wan1
set dstaddr Site2_net
set action accept
set schedule always
set service ANY
end

FortiGate Incoming Firewall Policy’i Konfigüre Etme

Incoming policy Juniper birimi ardındaki ağdaki hostların FortiGate cihazı ardındaki hostlarla iletişim kurmasını sağlar.

Web-tabanlı yönetici kullanarak konfigüre etmek için:

 Firewall > Policy’e gidin ve Create New’u seçin.
 Aşağıdakileri girin ve OK’i seçin:

Source Interface/Zone
Uzak ağa bağlayan arabirim: WAN1
 

Source Address
Uzak ağın firewall adresi: Site2_net


Destination Interface/Zone  
Yerel ağa bağlı arabirim: internal


Destination Address
Yerel ağın firewall adresi: LocalLAN


Schedule
always


Service
ANY


Action
ACCEPT

To configure using the CLI kullanarak konfigüre etmek için


Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz:
config firewall policy
edit 2
set srcintf wan1
set srcaddr Site2_net
set dstintf internal
set dstaddr LocalLAN
set action accept
set schedule always
set service ANY
end

Juniper SSG Arabirimlerini Konfigüre Etme

Bu Juniper SSG cihazı kendi WebUI’si kullanılarak konfigüre edilmiştir. Ayrıntılı bilgi için  Juniper dökümantasyonuna bakınız.
Juniper SSG arabirimlerini konfigüre etmek için:

Network > Interfaces’e gidin.
LAN’a bağlanan arabirim için Edit’i seçin.
Aşağıdakileri girin:

Zone Name
Trust


Static IP
Select


IP Address/Netmask
Enter the address of the interface that connects to the LAN’a bağlanan arabirimin adresini girin: örneğin, 192.168.2.99.

Apply’i seçin.
Internet Mode NAT’ı seçin ve OK’ seçin.
Network > Interfaces’e gidin.
Uzak VPN gateway’e bağlanan arabirim için Edit’i seçin.
Aşağıdakileri girin:

Zone Name
Untrust


Static IP

Select


IP Address/Netmask
Uzak VPN gateway’in adresini girin: örneğin, 202.85.110.138.
 
Apply’i seçin.
Internet Mode NAT’ı seçin ve OK’i seçin.

Juniper SSG tunnel arabirimini konfigüre etmek için:
Network > Interfaces’e gidin.
Tunnel IF’i seçin ve New’u seçin.
Aşağıdakileri girin ve Apply’i seçin:

Tunnel Interface Name
Bir isim girin: örneğin, tunnel.1.


Zone (VR)
Untrust (trust-vr)’ı seçin.


Unnumbered
Seçin.


Interface
Uzak VPN gateway’e bağlanan arabirimi seçin: örneğin, ethernet3.

Juniper SSG VPN Ayarlarını Konfigüre Etme


Juniper SSG VPN’i konfigüre etmek için:

VPNs > AutoKey Advanced > Gateway’e gidin ve New’u seçin.
Aşağıdakileri girin ve OK’i seçin:

Gateway Name
Bir isim girin: örneğin, toFortiGate.


Security Level
Custom


Remote Gateway Type
Static IP Address


Static IP Address
FortiGate birimi VPN gateway adresi, 172.16.110.138


Preshared Key
FortiGate biriminde konfigüre edilen preshared key değeri.
 
Advanced’i seçin.
Aşağıdakileri girin ve Return’u seçin:

Security Level
Custom


Phase 1 Proposal
3des-sha


Mode (Initiator)
Main (ID Protection)
 
Juniper SSG Routing Konfigüre Etme

VPN tüneli aracılığıyla uzak özel ağ için trafik almak ve göndermek için routing konfigüre etmelisiniz.
VPN trafiği için route’lar konfigüre etmek için:

Network > Routing > Routing Entries > trust-vr’e gidin.
Aşağıdakileri girin ve OK’i seçin:

Network Address/Netmask
0.0.0.0/0


Gateway Interface
Uzak VPN gateway’e bağlanan arabirim: örneğin, ethernet3.


Gateway IP Address
Uzak Gateway Interface’in IP adresi: örneğin, 172.16.110.138.
 
Network > Routing > Routing Entries > trust-vr’e gidin.
Aşağıdakileri girin ve OK’i seçin:

Network Address/Netmask
Uzak LAN’ın adresi, örneğin, 192.168.2.0/24.


Gateway Interface
Tünel arabirimi: örneğin, Tunnel.1.


Gateway IP Address
0.0.0.0

Juniper SSG Firewall Kurallarını Konfigüre Etme

Firewall adreslerini konfigüre etmek için:

Policy > Policy Elements > Addresses > List > New’a gidin.
Aşağıdakileri girin ve OK’i seçin:

Address Name
Yerel LAN için bir isim: örneğin, Site1_LAN.


IP Address
Yerel LAN için IP adresi: örneğin, 10.10.10.254/24.


Zone
Trust
 
Policy > Policy Elements > Addresses > List > New’a gidin.

Aşağıdakileri girin ve OK’i seçin:

Address Name
Uzak LAN için bir isim: örneğin: Site2_LAN.


IP Address
Uzak LAN için IP adresi: örneğin, 192.168.2.0/24.


Zone
Untrust


Firewall kuralları konfigüre etmek için:

Policy > Policies’e gidin.
Aşağıdakileri girin ve OK’i seçin:

From
Trust


To
Untrust


Name
Policy için bir isim: örneğin, Site1toSite2.


Service
ANY


Action
Permit
 
Policy > Policies’e gidin.
Aşağıdakileri girin ve OK’i seçin:

From
Untrust


To

Trust


Name
Policy için bir isim: örneğin, Site2toSite1.


Service
ANY


Action

Permit
 
FortiGate Biriminden VPN’i Test Etme
Internal arabirimden çıkması için bir ping fonksiyonu konfigüre edin.
execute ping-options source 10.10.10.6
Juniper SS birimi ardındaki özel ağı ping’leyin.
exec ping 192.168.2.99

Juniper SSG Biriminden VPN’i Test Etme

FortiGate birimi ardındaki özel ağı ping’leyin.
ping 10.10.10.6 from ethernet0/0
Bitirmek için çıkış dizisini yazın.


Sorun Giderme

VPN’lerde sorun gidermek için çeşitli araçlar mevcuttur:
VPN monitor’leri
 
 

  • FortiGate biriminde VPN > Monitor.
  • Juniper SSG biriminde VPNs > Monitor Status.

Event Log’ları

  • FortiGate biriminde Log&Report > Log Access.
  • Juniper SSG biriminde Reports > System Log > Event.


Diyagnostik komutlar

  • FortiGate unit - diag vpn tunnel list
  • Juniper SSG - get sa