Shunze 學園 - 《分享》XG與FortiGate IPsec串接

Shunze 學園 >資訊設備專區 >Sophos XG > 《分享》XG與FortiGate IPsec串接

哈囉，還沒有註冊或者登入。請你[註冊|登入]

顯示成列印模式 | 增加到我的最愛

作者

主題

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》XG與FortiGate IPsec串接

以前就寫過Cyberoam與FortiGate的串接，
而XG跟Cyberoam在IPsec上差不多，所以這篇的重點其實是“不同版本的FortiGate IPsec設定”。

若您的Forti IPsec設定與本篇記錄不同，那麼或許可以參考這一篇 - Cyberoam與FortiGate VPN串接。

設定環境如下。

設定IPsec的一個重點是兩端的Phase 1 & 2加解密及演算法要一致，然後使用相同的Preshared Key，
掌握了這樣的條件，基本上IPsec就完成了一半～

FortiGate端的設定
在FortiGate的IPsec Tunnel中新增一個連線。

然後在模板中選擇“自定義VPN隧道(無模板)”這種類型來自行定義VPN內容。

在新建的IPsec內容中，仔細設定好Phase 1 & 2加解密與演算法，並記住使用的Preshared Key，
這些設定內容會在Sophos XG中的IPsec另建profile來對應。
Phase 2的內容設定完成後，請先按下勾勾進行儲存。

Phase 2儲存後再按一次“確認”就完成了IPsec的組態建立。

完成後可以看到該組態項目出現在隧道模式中。

IPsec組態建立後，接著要建一條防火牆規則來放行IPsec的封包。

此防火牆規則的重點在於動作選擇“IPsec”，選了“IPsec”後就有對應的VPN隧道內容出現，
然後再選擇剛剛建立的IPsec組態。

此規則建好後，預設是在最下方，我們可以把它調整到預設的internal-wan規則之前。

完成後，防火牆規則的排列順序應該顯示如下。

至於IPsec Tunnel的啟用/斷開可在監視器中的IPsec監視器裏進行。

到這邊FortiGate上的設定已經完成。
要特別注意的是，在FortiGate中IPsec tunnel的建立與防火牆放行規則有直接的關係，
No policy = no tunnel
如果未建立防火牆規則，基本上這IPsec VPN tunel是不會起來的，
順子在這部分吃過虧，設定時要注意這點。
Sophos XG端的設定
XG上的設定保有Cyberoam的特色-簡單好用。
先在 CONFIGURE > VPN > IPsec Profiles 中新增一個profile來對應。

在profile內容中，請將Forti端設定的Phase 1 & 2加解密/演算法與DH Group抄寫過來。

然後在 CONFIGURE > VPN > IPsec Connections 新增一個IPsec連線通道。

此IPsec連線的Policy當然要選擇剛才新建的IPsec Profile，
然後填入一致的Preshared Key與兩端的IP及網段資訊。

完成後，按下Connection按鈕。

由於Forti端已先設定好，若兩端設定正確，IPsec Tunnel應該可以順利連通了～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2017-02-23, 10:32

shunze
工友伯伯

註冊日期: 2002 04
來自: 潮汐終止之地
文章: 2380
shunze 離線

《分享》與Interface Mode Forti串接

昨天因工作需求，接觸了另一個版本的Forti，
而這個版本的IPsec VPN跟之前測試過Forti稍有不同，已經有所謂Interface Mode的選項。
以下為Interface Mode設定心得，分享給大家。

首先，在IPsec組態中，多了一個“Enable IPsec Interface Mode”的選項，
啟用這選項後，IPsec VPN就形同Forti上的一個介面，也就是所謂的Interface Mode，
這跟原本的Tunnel Mode在設定上是不同的。

由於Tunnel Mode在上一篇已實作過，所以這篇將會以Interface Mode來進行連線設定。
而事實上，Tunnel Mode與Interface Mode在IPsec VPN的組態設定上除了這個切換選項外，其餘相同，
所以組態設請請參考上一篇。
另外，在這個版本的Forti中，還多了一個“模式配置”的選項。

這個選項請勿勾選！
順子不清楚這個功能的實際意義，但勾選後，將造成Phase2組態中“近/遠端組態”無法配置！？
當然IPsec VPN也就無法成功串接了...
因此設定時，請不要勾選此選項！
在建立Interface Mode組態的IPsec VPN後，防火牆上該建立的Policy rule也有些不同。
原本Tunnel Mode是要在“動作”上選擇“IPsec”後，再挑選要用的IPsec Tunnel。

在變為Interface Mode後，由於IPsec VPN形同Forti上的一個介面，
所以要變成要建立Internal to Interface Mode IPsec VPN間的雙向放行規則。
設定好雙向policy後，Interface Mode需額外設定Static Route來指定路由導向。
因為IPsec VPN形同Forti上的一個介面，並不像Tunnel Mode會自動綁定對應路由，
因此，需要增加雙向static route，封包才能成功送到對端。
最後，順子發現太短的Preshared Key會造成連線上的失敗！
XG上撈到的log如下。

Oakley Transform [OAKLEY_DES_CBC (64), OAKLEY_MD5, OAKLEY_GROUP_MODP1536] refused due to insecure key_len and enc. alg. not listed in "ike" string

在將Preshared Key改為12碼長度，且具複雜性的字串後，XG總算能夠與Forti成功串接了～

以上為Interface Mode與Tunnel Mode的差異，分享給大家～

♥順子老婆的網拍，請多關照～

If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!

2018-01-30, 09:54