GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Erstellen Sie eine Site-to-Site-IPsec-VPN-Verbindung zwischen Vyatta und FortiGate

In diesem Artikel erfahren Sie, wie Sie mithilfe eines dynamischen Domain Name System (DDNS)-Namens eine Site-to-Site Internet Protocol Security (IPsec) Virtual Private Network (VPN)-Verbindung zwischen einem Vyatta®-Router (Rackspace) und FortiGate® erstellen. Die Konfiguration eines IPsec-VPN zwischen zwei Endpunkten erfordert normalerweise eine statische IP-Adresse (Internet Protocol) an beiden Enden. Die Vyatta-Server-Appliance verfügt jedoch über eine Option zum Konfigurieren eines DDNS-Namens zum Konfigurieren eines VPN.

Die folgende Tabelle zeigt die linke Seite als Punkt A (die Rackspace Vyattarouter-Appliance) und die rechte Seite (FortiGate mit einer dynamischen IP-Adresse und einem DDNS-Namen) als Punkt B:

Punkt A (Vyatta-Router) Punkt B (FortiGate mit dynamischer IP-Adresse und DDNS-Name)
Gerät :Vyatta-Router-Appliance bei Rackspace
eth0 :134.213.135.XXX (öffentliche IP)
eth1 :10.181.200.XXX (private IP) 		Gerät :Firewall stärken
wan1 :Dynamische IP mit dem DDNS-Namen forti.fortiddns.com
intern :192.168.10.0/24 (Subnetz des lokalen Netzwerks (LAN))

Nachdem Sie erfolgreich eine Standort-zu-Standort-IPsec-VPN-Tunnelverbindung zwischen Vyatta und FortiGate hergestellt haben, können Sie die private IP-Adresse des Vyatta-Routers (z. B. 10.181.200.XXX) von jeder internen IP-Adresse (z. B. 192.168.1.7) aus anpingen.

Mit FortiGate können Sie einen DDNS-Namen erstellen. Informationen zum Konfigurieren eines DDNS-Namens in FortiGate finden Sie unter So richten Sie DDNS auf einem FortiGate-Gerät ein.

Schritt 1:Konfigurieren Sie das IPsec-VPN in der Vyatta-Router-Appliance

Verwenden Sie die folgenden Schritte, um das IPsec-VPN in der Vyatta-Router-Appliance zu konfigurieren:

  1. Melden Sie sich mithilfe von Secure Shell (SSH) beim Vyatta-Server an, wie im folgenden Beispiel gezeigt:

    $ssh vyatta@cloud-server-09
vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details
$configure                                                                                         //Move to configuration mode
vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0
[edit]
vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces
+interface eth0
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600
[edit]

  2. Konfigurieren Sie den IPsec-Verbindungsschlüssel und die DDNS-Einstellungen wie im folgenden Beispiel gezeigt:

    vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name
[edit]
vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set default-esp-group ESP-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set ike-group IKE-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate
vyatta@cloud-server-09# top
vyatta@cloud-server-09# commit

vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

Schritt 2:Konfigurieren Sie das IPsec-VPN in der FortiGate-Firewall

Verwenden Sie die folgenden Schritte, um das IPsec-VPN in der FortiGate-Firewall zu konfigurieren:

  1. Melden Sie sich als Administrator bei der FortiGate-Firewall an.

  2. Wählen Sie VPN> IPsec> Tunnel> Neu erstellen> Benutzerdefinierter VPN-Tunnel aus .

  3. Im Namen Geben Sie im Feld RSVPN ein .

  4. Wählen Sie Statische IP-Adresse aus und geben Sie die öffentliche IP-Adresse der Vyattarouter-Appliance in die IP-Adresse ein Spalte.

  5. In der Authentifizierung Wählen Sie im Abschnitt Vorinstallierter Schlüssel aus und geben Sie den Schlüssel als test_test_111 ein . Der vorinstallierte Schlüssel sollte in Vyatta und FortiGate gleich sein.

  6. Stellen Sie sicher, dass die Internet Key Exchange-Version (IKE-Version ) ist 1 und der Modus auf Haupt eingestellt ist .

  7. Sie müssen die folgenden Verschlüsselungen und Einstellungen verwenden:

    • Advanced Encryption Standard 128 (AES128), wobei die Authentifizierung auf Secure Hash Algorithm 1 (SHA1) eingestellt ist
    • AES256, mit Authentifizierung auf SHA1 eingestellt
    • Triple DES (3DES), wobei die Authentifizierung auf Message Digestalgorithmus 5 (MD5) eingestellt ist

    Sie müssen auch die folgenden Einstellungen verwenden:

    • Diffie-Hellman (DH)-Gruppen :14,5 und 2
    • Lebensdauer des Schlüssels :3600 Sekunden

  8. Die lokale Adresse ist die Adresse des LAN. Die Remote-Adresse ist die private Subnetz-IP der Vyatta-Appliance. Verwenden Sie die folgenden Verschlüsselungen und Einstellungen:

    • AES128, mit Authentifizierung auf SHA1 eingestellt
    • AES256, mit Authentifizierung auf SHA1 eingestellt
    • 3DES, mit auf MD5 eingestellter Authentifizierung

    Sie müssen auch die folgenden Einstellungen verwenden:

    • DH-Gruppen :14,5 und 2
    • Schlüssellebensdauer :3600 Sekunden

  9. Wählen Sie Netzwerk aus und fügen Sie die statische Route 10.181.192.0/19 hinzu (das Subnetz der Vyatta-Appliance).

  10. Fügen Sie eine Firewall-Richtlinie hinzu, die Datenverkehr zwischen den beiden privaten Subnetzen zulässt.

  11. Wählen Sie abschließend VPN> Überwachen> IPsec-Überwachung und vergewissern Sie sich, dass derStatus wird als UP angezeigt .


Linux

  1. Unterschied zwischen Login-Shell und Nicht-Login-Shell?

  2. Unterschied zwischen 2>&-, 2>/dev/null, |&, &>/dev/null und>/dev/null 2>&1?

  3. Was ist der Unterschied zwischen Sudo Su – und Sudo Su –?

  4. Unterschied zwischen Eot und Eof?

  5. Unterschied zwischen [0-9], [[:digit:]] und D?

Stellen Sie eine SSH-Verbindung zwischen Windows und Linux her

So erstellen Sie ein VPC-Peering zwischen 2 VPCs auf AWS

Erstellen Sie eine MySQL-Datenbank und -Tabelle mit PHP in XAMPP

Unterschied zwischen apt und apt-get erklärt

So erstellen Sie Ihren eigenen IPsec-VPN-Server unter Linux

Vim vs. Vi – Ähnlichkeiten und Unterschiede zwischen VIM und VI?