GNU/Linux >> Tutoriels Linux >  >> Linux

Créer une connexion VPN IPsec site à site entre Vyatta et FortiGate

Cet article vous montre comment créer une connexion de réseau privé virtuel (VPN) Internet Protocol Security (IPsec) de site à site entre un routeur Vyatta® (Rackspace) et FortiGate® en utilisant un nom de système de noms de domaine (DDNS) dynamique. La configuration d'un VPN IPsec entre deux points d'extrémité nécessite généralement une adresse IP (Internet Protocol) statique aux deux extrémités. Cependant, l'appliance serveur Vyatta a la possibilité de configurer un nom DDNS pour configurer un VPN.

Le tableau suivant montre le côté gauche comme point A (l'appliance Rackspace Vyattarouter) et le côté droit (FortiGate avec une adresse IP dynamique et un nom DDNS) comme point B :

Point A (routeur Vyatta) Point B (FortiGate avec une adresse IP dynamique et un nom DDNS)
Appareil :Appliance de routeur Vyatta chez Rackspace
eth0 :134.213.135.XXX (IP publique)
eth1 :10.181.200.XXX (IP privée) 		Appareil :Pare-feu Fortigate
wan1 :IP dynamique avec le nom DDNS forti.fortiddns.com
interne :192.168.10.0/24 (sous-réseau du réseau local (LAN))

Après avoir établi avec succès une connexion de tunnel VPN IPsec de site à site entre Vyatta et FortiGate, vous pouvez envoyer un ping à l'adresse IP privée du routeur Vyatta (telle que 10.181.200.XXX) à partir de n'importe quelle adresse IP interne (telle que 192.168.1.7).

FortiGate vous permet de créer un nom DDNS. Pour savoir comment configurer un nom DDNS dans FortiGate, consultez Comment configurer le DDNS sur un appareil FortiGate.

Étape 1 : Configurer le VPN IPsec dans l'appliance du routeur Vyatta

Utilisez les étapes suivantes pour configurer le VPN IPsec dans l'appliance de routeur Vyatta :

  1. Connectez-vous au serveur Vyatta en utilisant Secure Shell (SSH), comme illustré dans l'exemple suivant :

    $ssh vyatta@cloud-server-09
vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details
$configure                                                                                         //Move to configuration mode
vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0
[edit]
vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces
+interface eth0
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600
[edit]

  2. Configurez la clé de connexion IPsec et les paramètres DDNS, comme indiqué dans l'exemple suivant :

    vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name
[edit]
vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set default-esp-group ESP-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set ike-group IKE-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate
vyatta@cloud-server-09# top
vyatta@cloud-server-09# commit

vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

Étape 2 :Configurer le VPN IPsec dans le pare-feu FortiGate

Utilisez les étapes suivantes pour configurer le VPN IPsec dans le pare-feu FortiGate :

  1. Connectez-vous au pare-feu FortiGate en tant qu'administrateur.

  2. Sélectionnez VPN> IPsec> Tunnel> Créer un nouveau> Tunnel VPN personnalisé .

  3. Dans le Nom champ, entrez RSVPN .

  4. Sélectionnez Adresse IP statique et entrez l'adresse IP publique de l'appliance Vyattarouter dans Adresse IP colonne.

  5. Dans l'onglet Authentification section, sélectionnez Clé pré-partagée et saisissez la clé en tant que test_test_111 . La clé pré-partagée doit être la même dans Vyatta et FortiGate.

  6. Assurez-vous que la version Internet Key Exchange (version IKE ) est 1 et le Mode est défini sur Principal .

  7. Vous devez utiliser les cryptages et paramètres suivants :

    • Advanced Encryption Standard 128 (AES128), avec authentification définie surSecure Hash Algorithm 1 (SHA1)
    • AES256, avec authentification définie sur SHA1
    • Triple DES (3DES), avec authentification définie sur message digestalgorithm 5 (MD5)

    Vous devez également utiliser les paramètres suivants :

    • Groupes Diffie-Hellman (DH) :14,5, et 2
    • Durée de vie de la clé :3600 secondes

  8. L'adresse locale est l'adresse du LAN. L'adresse distante est l'IP de sous-réseau privé de l'appliance Vyatta. Utilisez les cryptages et paramètres suivants :

    • AES128, avec authentification définie sur SHA1
    • AES256, avec authentification définie sur SHA1
    • 3DES, avec authentification définie sur MD5

    Vous devez également utiliser les paramètres suivants :

    • Groupes DH :14,5, et 2
    • Durée de vie de la clé :3600 secondes

  9. Sélectionnez Réseau et ajoutez la route statique 10.181.192.0/19 (le sous-réseau de l'appliance Vyatta).

  10. Ajoutez une politique de pare-feu qui autorise le trafic entre les deux sous-réseaux privés.

  11. Enfin, sélectionnez VPN> Monitor> IPsec Monitor et vérifiez que le Statut s'affiche sous la forme UP .


Linux

  1. Différence entre le shell de connexion et le shell sans connexion ?

  2. Différence entre 2>&-, 2>/dev/null, |&, &>/dev/null et>/dev/null 2>&1 ?

  3. Quelle est la différence entre Sudo Su - et Sudo Su - ?

  4. Différence entre Eot et Eof?

  5. Différence entre [0-9], [[:digit:]] et D ?

Établir une connexion SSH entre Windows et Linux

Comment créer un VPC Peering entre 2 VPC sur AWS

Créer une base de données et une table MySQL à l'aide de PHP dans XAMPP

Différence entre apt et apt-get expliquée

Comment créer votre propre serveur VPN IPsec sous Linux

Vim vs Vi - Similitudes et différences entre VIM et VI ?