Fortigate VPN’in Checkpoint NGX Cihazıyla Birlikte Çalışması

Bu makale bir FortiGate birimindeki IPSec VPN’in bir Checkpoint NGX firewall VPN’le birlikte çalışmasını açıklamaktadır. Konfigürasyon, FortiOS v3.0’daki yeni bir özellik olan arabirim tabanlı VPN kullanmaktadır.

FortiGate biriminin ardındaki kullanıcılar Checkpoint-korumalı ağdaki herhangi bir hostla iletişim kurabilirler. Users on the Checkpoint ağındaki kullanıcılar FortiGate biriminin ardındaki özel ağdaki bir sunucuya erişim sağlayabilirler.
 
Bileşenler
 

  •     FortiOS v3.0 firmware’lı FortiGate birimi
  •     Checkpoint NGX firewall cihazı

 
Network Diyagramı

 
Önkoşullar

  • FortiGate birimi NAT modunda olmalıdır.


VPN Phase 1’i konfigüre etmek

Önce IPSec VPN phase 1’i konfigüre edin. Sanal IPSec arabirimi internete bağlanan fiziksel adreste oluşturulur.

Web tabanlı yönetici kullanarak konfigüre etmek için:

    VPN > IPSec > Auto-Key’e gidin ve Phase’i seçin. Aşağıdakileri girin:

Name   
VPN name: toSite2


Remote Gateway
Static IP Address


IP Address
Checkpoint cihazının genel IP adresi


Local Interface
Uzak VPN’e bağlanan arabirim: port2


Authentication Method
Preshared Key


Pre-shared Key

Checkpoint cihazında konfigüre edilen preshared key

Advanced’i seçin ve aşağıdakileri girin:

Enable IPSec Interface Mode
Enable


P1 Proposal
1 - Encryption DES, Authentication MD5


DH Group
2


Keylife
86400


Nat-traversal
Enable


Dead Peer Detection
Enable
 
OK’i seçin.

CLI’yi kullanarak konfigüre etmek için:
config vpn ipsec phase1-interface

edit "toSite2"

set interface "port2"

set dpd enable

set nattraversal enable
set dhgrp 2

set proposal des-md5

set keylife 86400

set remote-gw nnn.nnn.nnn.nnn

set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
end


VPN Phase 2’yi konfigüre etme

Daha sonra IPSec VPN phase 2’i konfigüre edin. Checkpoint VPN, VPN sadece bir adresten bağlantıları kabul eder: 192.168.197.168. O adrese kaynak seçicisini kurun. Hedef Checkpoint cihazı ardındaki özel ağdır.

Web-tabanlı yönetici kullanarak konfigüre etmek için:

VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.
Aşağıdakileri girin:

Name
VPN Phase 2 konfigürasyonu için bir isim: toSite2_p2


Phase 1 
Phase 1 konfigürasyon adı: toSite2

Advanced’i seçin ve aşağıdakileri girin:

P2 Proposal
1 - Encryption 3DES, Authentication MD5


Enable Replay Detection
Enable


DH Group
1


Autokey Keep Alive
Enable

Source Address
192.168.197.168


Destination Address
   
10.185.111.0 255.255.255.0

    OK’i seçin.

 
CLI kullanarak konfigüre etmek için:


config vpn ipsec phase2-interface

edit "toSite2_p2"
set dhgrp 1
set keepalive enable
set phase1name "toSite2"
set proposal 3des-md5
set replay enable
set src-addr-type ip
set dst-subnet 10.185.111.0 255.255.255.0
set src-start-ip 192.168.197.168
end


Firewall Adreslerini konfigüre etmek

VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun. "LocalLAN" FortiGate birimi "Site2_net" Checkpoint cihazı ardındaki ağdır.

Web tabanlı yönetici kullanarak konfigüre etmek için:
Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:

Address Name
Adres için bir isim.
FortiGate birimi ardındaki ağ için "LocalLAN" yazın.
Checkpoint cihazının ardındaki ağ için "Site2_net" yazın.


Type Subnet/IP Range
Subnet/IP Range 
   

Network adresi ve subnet mask
LocalLAN için "192.168.100.0 255.255.255.0"

Site2_net için "10.185.111.0 255.255.255.0"
OK.’i seçin.

CLI kullanarak konfigüre etmek için:
config firewall address
edit "LocalLAN"
set subnet 192.168.100.0 255.255.255.0
next
edit "Site2_net"
set subnet 10.185.111.0 255.255.255.0
end

 

Bir Firewall Virtual IP Pool konfigüre etmek

Checkpoint cihazı VPN peer’ların sadece 192.168.197.168 IP adresinden bağlanmasına izin verir.  Using the FortiGate birimi IP Pool özelliğini kullanarak kullanıcının kaynak IP adresini Checkpoint cihazı için kabul edilebilir olan  192.168.197.168 adresiyle değiştirebilirsiniz.

Web tabanlı yönetici kullarak konfigüre etmek için:

Firewall > Virtual IP > IP Pool’a gidin ve Create New’u seçin.
Aşağıdakileri girin:

Name
IP Pool için bir isim: Site2-Out


Interface
Uzak VPN peer’a bağlanan IPSec arabirimi: toSite2


IP Range/Subnet
IP Pool’un IP adresi alanı: 192.168.197.168
OK’i seçin.


CLI’yi kullanarak konfigüre etmek için:
config firewall ippool

edit "Site2-Out"
set endip 192.168.197.168
set interface "toSite2"
set startip 192.168.197.168
end

Bir Firewall Virtual IP adresi konfigüre etmek

Checkpoint cihazı ağındaki host’ların VPN aracılığıyla sadece 192.168.197.168 IP adresine bağlanmalarına izin verir. Using the FortiGate Virtual IP (VIP) özelliğini kullanarak bu adresi FortiGate birimi ardındaki ağdaki bir sunucunun adresine dönüştürebilirsiniz.

Web tabanlı yönetici kullanarak konfigüre etmek için:

 Firewall > Virtual IP’a gidin ve Create New’u seçin..
 Aşağıdakileri girin:

Name
Sanal IP adresi için bir isim: Static_for_Site2peer


External Interface
FortiGate biriminin genel arabirimi: port2


Type
Static NAT


External IP Address/Range

Değiştirilecek harici adres: 192.168.197.168


Mapped IP Address/Range
Yerel ağda kullanılacak Sanal IP adresi: 192.168.100.173
 
OK’i seçin.
CLI kullanarak konfigüre etmek:
config firewall vip
edit "Static_for_Site2peer"
set extip 192.168.197.168
set extintf "toSite2"
set mappedip 192.168.100.173
end


Outgoing Firewall Policy konfigüre etmek


Outgoing policy FortiGate birimi ardındaki ağdaki host’ların Checkpoint cihazının ardındaki host’larla iletişim kurmasını sağlar. Kural, Checkpoint cihazı tarafından kabul edilebilir şekilde kaynak adresin yerine geçmesi için oluşturduğunuz IP Pool’u kullanır.

Web tabanlı yönetici kullanarak konfigüre etmek:
Firewall > Policy’e gidin ve Create New’u seçin.
 Aşağıdakileri girin OK’i seçin:

Source Interface/Zone
Yerel ağa bağlı arabirim: port1


Source Address
Yerel ağ için firewall adresi: LocalLAN


Destination Interface/Zone
Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2.
 

Destination Address
Uzak ağ için firewall adresi: Site2_net


Schedule
Always


Service
ANY


Action
ACCEPT


NAT
Enable


Dynamic IP Pool
Enable ve IP Pool’u seçin: Site2-Out


Log Allowed Traffic

Enable


CLI kullanarak konfigüre etmek için:
config firewall policy
edit 3
set srcintf "port1"
set dstintf "toSite2"
set srcaddr "LocalLAN"
set dstaddr "Site2_net"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
set nat enable
set ippool enable
set poolname "Site2-Out"
end


Incoming Firewall Policy’i konfigüre etmek

Incoming policy Checkpoint cihazının ardındaki ağdan FortiGate birimi ardındaki ağa bağlantılara izin verir. Ancak Checkpoint cihazı host’larının sadece tek bir adrese bağlanmasına izin verir: 192.168.197.168. Daha önceden belirlediğiniz VIP bu adresi FortiGate biriminin ardındaki ağdaki sunucunun adresine çevirir. 

Web tabanlı yönetici kullanarak konfigüre etmek için:
Firewall > Policy’e gidin ve Create New’u seçin.
Aşağıdakiler girin ve OK’i seçin:

Source Interface/Zone
Uzak ağa bağlanan arabirim, sanal IPSec arabirimi: toSite2


Source Address
Uzak ağın firewall adresi: Site2_net


Destination Interface/Zone
Yerel ağa bağlı arabirim: port1


Destination Address
The VIP that maps the fixed Checkpoint appliance destination address to one that is on our local subnet: Static_for_Site2peer


Schedule
Always


Service
ANY


Action
ACCEPT


Log Allowed Traffic
   
Enable
CLI kullanarak konfigüre etmek:
config firewall policy
edit 4
set srcintf "toSite2"
set dstintf "port1"
set srcaddr "Site2_net"
set dstaddr "Static_for_Site2peer"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
end


Routing Konfigüre etme

Bu sanal IPSec arabirimi toSite2’nin Checkpoint cihazının ardındaki ağa bağlanan arabirim olduğunu belirlemelisiniz.

Web tabanlı yönetici ile konfigüre etmek için:
Router > Static’ gidin ve Create New’u seçin.
Aşağıdakileri girin ve OK’i seçin.

 
Destination IP/Mask
Uzak ağın IP adresi/mask’ı: 10.185.111.0/255.255.255.0


Device
Uzak ağa bağlanan arabirim, IPSec arabirimi: toSite2
CLI kullanarak konfigüre etmek için:
config router static
edit 2
set device "toSite2"
set dst 10.185.111.0 255.255.255.0
end