|
以前就寫過Cyberoam與FortiGate的串接,
而XG跟Cyberoam在IPsec上差不多,所以這篇的重點其實是“不同版本的FortiGate IPsec設定”。
若您的Forti IPsec設定與本篇記錄不同,那麼或許可以參考這一篇 - Cyberoam與FortiGate VPN串接。
設定環境如下。
設定IPsec的一個重點是兩端的Phase 1 & 2加解密及演算法要一致,然後使用相同的Preshared Key,
掌握了這樣的條件,基本上IPsec就完成了一半~
- FortiGate端的設定
在FortiGate的IPsec Tunnel中新增一個連線。
然後在模板中選擇“自定義VPN隧道(無模板)”這種類型來自行定義VPN內容。
在新建的IPsec內容中,仔細設定好Phase 1 & 2加解密與演算法,並記住使用的Preshared Key,
這些設定內容會在Sophos XG中的IPsec另建profile來對應。
Phase 2的內容設定完成後,請先按下勾勾進行儲存。
Phase 2儲存後再按一次“確認”就完成了IPsec的組態建立。
完成後可以看到該組態項目出現在隧道模式中。
IPsec組態建立後,接著要建一條防火牆規則來放行IPsec的封包。
此防火牆規則的重點在於動作選擇“IPsec”,選了“IPsec”後就有對應的VPN隧道內容出現,
然後再選擇剛剛建立的IPsec組態。
此規則建好後,預設是在最下方,我們可以把它調整到預設的internal-wan規則之前。
完成後,防火牆規則的排列順序應該顯示如下。
至於IPsec Tunnel的啟用/斷開可在監視器中的IPsec監視器裏進行。
到這邊FortiGate上的設定已經完成。
要特別注意的是,在FortiGate中IPsec tunnel的建立與防火牆放行規則有直接的關係,
No policy = no tunnel
如果未建立防火牆規則,基本上這IPsec VPN tunel是不會起來的,
順子在這部分吃過虧,設定時要注意這點。
- Sophos XG端的設定
XG上的設定保有Cyberoam的特色-簡單好用。
先在 CONFIGURE > VPN > IPsec Profiles 中新增一個profile來對應。
在profile內容中,請將Forti端設定的Phase 1 & 2加解密/演算法與DH Group抄寫過來。
然後在 CONFIGURE > VPN > IPsec Connections 新增一個IPsec連線通道。
此IPsec連線的Policy當然要選擇剛才新建的IPsec Profile,
然後填入一致的Preshared Key與兩端的IP及網段資訊。
完成後,按下Connection按鈕。
由於Forti端已先設定好,若兩端設定正確,IPsec Tunnel應該可以順利連通了~
 |
 |
♥順子老婆的網拍,請多關照~
If you don't like something, change it.
If you can't change it, change your attitude.
Don't complain!
|
2017-02-23, 10:32
《分享》XG與FortiGate IPsec串接
