Fortigate VPN’in Checkpoint NGX Cihazıyla Birlikte Çalışması
Bu makale bir FortiGate birimindeki IPSec VPN’in bir Checkpoint NGX firewall VPN’le birlikte çalışmasını açıklamaktadır. Konfigürasyon, FortiOS v3.0’daki yeni bir özellik olan arabirim tabanlı VPN kullanmaktadır.
FortiGate biriminin ardındaki kullanıcılar Checkpoint-korumalı ağdaki herhangi bir hostla iletişim kurabilirler. Users on the Checkpoint ağındaki kullanıcılar FortiGate biriminin ardındaki özel ağdaki bir sunucuya erişim sağlayabilirler.
Bileşenler
- FortiOS v3.0 firmware’lı FortiGate birimi
- Checkpoint NGX firewall cihazı
Network Diyagramı
Önkoşullar
- FortiGate birimi NAT modunda olmalıdır.
VPN Phase 1’i konfigüre etmek
Önce IPSec VPN phase 1’i konfigüre edin. Sanal IPSec arabirimi internete bağlanan fiziksel adreste oluşturulur.
Web tabanlı yönetici kullanarak konfigüre etmek için:
VPN > IPSec > Auto-Key’e gidin ve Phase’i seçin. Aşağıdakileri girin:
Name
VPN name: toSite2
Remote Gateway
Static IP Address
IP Address
Checkpoint cihazının genel IP adresi
Local Interface
Uzak VPN’e bağlanan arabirim: port2
Authentication Method
Preshared Key
Pre-shared Key
Checkpoint cihazında konfigüre edilen preshared key
Advanced’i seçin ve aşağıdakileri girin:
Enable IPSec Interface Mode
Enable
P1 Proposal
1 - Encryption DES, Authentication MD5
DH Group
2
Keylife
86400
Nat-traversal
Enable
Dead Peer Detection
Enable
OK’i seçin.
CLI’yi kullanarak konfigüre etmek için:
config vpn ipsec phase1-interface
edit "toSite2"
set interface "port2"
set dpd enable
set nattraversal enable
set dhgrp 2
set proposal des-md5
set keylife 86400
set remote-gw nnn.nnn.nnn.nnn
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end
VPN Phase 2’yi konfigüre etme
Daha sonra IPSec VPN phase 2’i konfigüre edin. Checkpoint VPN, VPN sadece bir adresten bağlantıları kabul eder: 192.168.197.168. O adrese kaynak seçicisini kurun. Hedef Checkpoint cihazı ardındaki özel ağdır.
Web-tabanlı yönetici kullanarak konfigüre etmek için:
VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.
Aşağıdakileri girin:
Name
VPN Phase 2 konfigürasyonu için bir isim: toSite2_p2
Phase 1
Phase 1 konfigürasyon adı: toSite2
Advanced’i seçin ve aşağıdakileri girin:
P2 Proposal
1 - Encryption 3DES, Authentication MD5
Enable Replay Detection
Enable
DH Group
1
Autokey Keep Alive
Enable
Source Address
192.168.197.168
Destination Address
10.185.111.0 255.255.255.0
OK’i seçin.
CLI kullanarak konfigüre etmek için:
config vpn ipsec phase2-interface
edit "toSite2_p2"
set dhgrp 1
set keepalive enable
set phase1name "toSite2"
set proposal 3des-md5
set replay enable
set src-addr-type ip
set dst-subnet 10.185.111.0 255.255.255.0
set src-start-ip 192.168.197.168
end
Firewall Adreslerini konfigüre etmek
VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun. "LocalLAN" FortiGate birimi "Site2_net" Checkpoint cihazı ardındaki ağdır.
Web tabanlı yönetici kullanarak konfigüre etmek için:
Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:
Address Name
Adres için bir isim.
FortiGate birimi ardındaki ağ için "LocalLAN" yazın.
Checkpoint cihazının ardındaki ağ için "Site2_net" yazın.
Type Subnet/IP Range
Subnet/IP Range
Network adresi ve subnet mask
LocalLAN için "192.168.100.0 255.255.255.0"
Site2_net için "10.185.111.0 255.255.255.0"
OK.’i seçin.
CLI kullanarak konfigüre etmek için:
config firewall address
edit "LocalLAN"
set subnet 192.168.100.0 255.255.255.0
next
edit "Site2_net"
set subnet 10.185.111.0 255.255.255.0
end
Bir Firewall Virtual IP Pool konfigüre etmek
Checkpoint cihazı VPN peer’ların sadece 192.168.197.168 IP adresinden bağlanmasına izin verir. Using the FortiGate birimi IP Pool özelliğini kullanarak kullanıcının kaynak IP adresini Checkpoint cihazı için kabul edilebilir olan 192.168.197.168 adresiyle değiştirebilirsiniz.
Web tabanlı yönetici kullarak konfigüre etmek için:
Firewall > Virtual IP > IP Pool’a gidin ve Create New’u seçin.
Aşağıdakileri girin:
Name
IP Pool için bir isim: Site2-Out
Interface
Uzak VPN peer’a bağlanan IPSec arabirimi: toSite2
IP Range/Subnet
IP Pool’un IP adresi alanı: 192.168.197.168
OK’i seçin.
CLI’yi kullanarak konfigüre etmek için:
config firewall ippool
edit "Site2-Out"
set endip 192.168.197.168
set interface "toSite2"
set startip 192.168.197.168
end
Bir Firewall Virtual IP adresi konfigüre etmek
Checkpoint cihazı ağındaki host’ların VPN aracılığıyla sadece 192.168.197.168 IP adresine bağlanmalarına izin verir. Using the FortiGate Virtual IP (VIP) özelliğini kullanarak bu adresi FortiGate birimi ardındaki ağdaki bir sunucunun adresine dönüştürebilirsiniz.
Web tabanlı yönetici kullanarak konfigüre etmek için:
Firewall > Virtual IP’a gidin ve Create New’u seçin..
Aşağıdakileri girin:
Name
Sanal IP adresi için bir isim: Static_for_Site2peer
External Interface
FortiGate biriminin genel arabirimi: port2
Type
Static NAT
External IP Address/Range
Değiştirilecek harici adres: 192.168.197.168
Mapped IP Address/Range
Yerel ağda kullanılacak Sanal IP adresi: 192.168.100.173
OK’i seçin.
CLI kullanarak konfigüre etmek:
config firewall vip
edit "Static_for_Site2peer"
set extip 192.168.197.168
set extintf "toSite2"
set mappedip 192.168.100.173
end
Outgoing Firewall Policy konfigüre etmek
Outgoing policy FortiGate birimi ardındaki ağdaki host’ların Checkpoint cihazının ardındaki host’larla iletişim kurmasını sağlar. Kural, Checkpoint cihazı tarafından kabul edilebilir şekilde kaynak adresin yerine geçmesi için oluşturduğunuz IP Pool’u kullanır.
Web tabanlı yönetici kullanarak konfigüre etmek:
Firewall > Policy’e gidin ve Create New’u seçin.
Aşağıdakileri girin OK’i seçin:
Source Interface/Zone
Yerel ağa bağlı arabirim: port1
Source Address
Yerel ağ için firewall adresi: LocalLAN
Destination Interface/Zone
Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2.
Destination Address
Uzak ağ için firewall adresi: Site2_net
Schedule
Always
Service
ANY
Action
ACCEPT
NAT
Enable
Dynamic IP Pool
Enable ve IP Pool’u seçin: Site2-Out
Log Allowed Traffic
Enable
CLI kullanarak konfigüre etmek için:
config firewall policy
edit 3
set srcintf "port1"
set dstintf "toSite2"
set srcaddr "LocalLAN"
set dstaddr "Site2_net"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
set nat enable
set ippool enable
set poolname "Site2-Out"
end
Incoming Firewall Policy’i konfigüre etmek
Incoming policy Checkpoint cihazının ardındaki ağdan FortiGate birimi ardındaki ağa bağlantılara izin verir. Ancak Checkpoint cihazı host’larının sadece tek bir adrese bağlanmasına izin verir: 192.168.197.168. Daha önceden belirlediğiniz VIP bu adresi FortiGate biriminin ardındaki ağdaki sunucunun adresine çevirir.
Web tabanlı yönetici kullanarak konfigüre etmek için:
Firewall > Policy’e gidin ve Create New’u seçin.
Aşağıdakiler girin ve OK’i seçin:
Source Interface/Zone
Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2
Source Address
Uzak ağın firewall adresi: Site2_net
Destination Interface/Zone
Yerel ağa bağlı arabirim: port1
Destination Address
The VIP that maps the fixed Checkpoint appliance destination address to one that is on our local subnet: Static_for_Site2peer
Schedule
Always
Service
ANY
Action
ACCEPT
Log Allowed Traffic
Enable
CLI kullanarak konfigüre etmek:
config firewall policy
edit 4
set srcintf "toSite2"
set dstintf "port1"
set srcaddr "Site2_net"
set dstaddr "Static_for_Site2peer"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
end
Routing Konfigüre etme
Bu sanal IPSec arabirimi toSite2’nin Checkpoint cihazının ardındaki ağa bağlanan arabirim olduğunu belirlemelisiniz.
Web tabanlı yönetici ile konfigüre etmek için:
Router > Static’ gidin ve Create New’u seçin.
Aşağıdakileri girin ve OK’i seçin.
Destination IP/Mask
Uzak ağın IP adresi/mask’ı: 10.185.111.0/255.255.255.0
Device
Uzak ağa bağlanan arabirim, IPSec arabirimi: toSite2
CLI kullanarak konfigüre etmek için:
config router static
edit 2
set device "toSite2"
set dst 10.185.111.0 255.255.255.0
end
 |
Yazdır |  |
Hata Bildir |  |
Tavsiye Et | Sayfayı Paylaş: |             |
Metin Boyutu |  |
 |
|||
|
|||||||||||||
