Cet article vous montre comment créer une connexion de réseau privé virtuel (VPN) Internet Protocol Security (IPsec) de site à site entre un routeur Vyatta® (Rackspace) et FortiGate® en utilisant un nom de système de noms de domaine (DDNS) dynamique. La configuration d'un VPN IPsec entre deux points d'extrémité nécessite généralement une adresse IP (Internet Protocol) statique aux deux extrémités. Cependant, l'appliance serveur Vyatta a la possibilité de configurer un nom DDNS pour configurer un VPN.
Le tableau suivant montre le côté gauche comme point A (l'appliance Rackspace Vyattarouter) et le côté droit (FortiGate avec une adresse IP dynamique et un nom DDNS) comme point B :
Point A (routeur Vyatta) | Point B (FortiGate avec une adresse IP dynamique et un nom DDNS) |
---|---|
Appareil :Appliance de routeur Vyatta chez Rackspace eth0 :134.213.135.XXX (IP publique) eth1 :10.181.200.XXX (IP privée) | Appareil :Pare-feu Fortigate wan1 :IP dynamique avec le nom DDNS forti.fortiddns.com interne :192.168.10.0/24 (sous-réseau du réseau local (LAN)) |
Après avoir établi avec succès une connexion de tunnel VPN IPsec de site à site entre Vyatta et FortiGate, vous pouvez envoyer un ping à l'adresse IP privée du routeur Vyatta (telle que 10.181.200.XXX) à partir de n'importe quelle adresse IP interne (telle que 192.168.1.7).
FortiGate vous permet de créer un nom DDNS. Pour savoir comment configurer un nom DDNS dans FortiGate, consultez Comment configurer le DDNS sur un appareil FortiGate.
Étape 1 : Configurer le VPN IPsec dans l'appliance du routeur Vyatta
Utilisez les étapes suivantes pour configurer le VPN IPsec dans l'appliance de routeur Vyatta :
-
Connectez-vous au serveur Vyatta en utilisant Secure Shell (SSH), comme illustré dans l'exemple suivant :
$ssh vyatta@cloud-server-09 vyatta@cloud-server-09:~$ show interfaces ethernet //Get interface IP details $configure //Move to configuration mode vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0 [edit] vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces +interface eth0 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256 vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1 vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600 vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600 [edit]
-
Configurez la clé de connexion IPsec et les paramètres DDNS, comme indiqué dans l'exemple suivant :
vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret // Replace forti.fortiddns.com with your DDNS name [edit] vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111 // Use the same in key at Fortigate end [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set default-esp-group ESP-RS [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set ike-group IKE-RS [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set local-address 134.213.XX.XX // Public IP of the Vyatta router appliance [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19 // Vyatta Private subnet IP [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24 // LAN subnet behind Fortigate vyatta@cloud-server-09# top vyatta@cloud-server-09# commit vyatta@cloud-server-09# show vpn ipsec site-to-site peer // To view the IPsec configurations
Étape 2 :Configurer le VPN IPsec dans le pare-feu FortiGate
Utilisez les étapes suivantes pour configurer le VPN IPsec dans le pare-feu FortiGate :
-
Connectez-vous au pare-feu FortiGate en tant qu'administrateur.
-
Sélectionnez VPN> IPsec> Tunnel> Créer un nouveau> Tunnel VPN personnalisé .
-
Dans le Nom champ, entrez RSVPN .
-
Sélectionnez Adresse IP statique et entrez l'adresse IP publique de l'appliance Vyattarouter dans Adresse IP colonne.
-
Dans l'onglet Authentification section, sélectionnez Clé pré-partagée et saisissez la clé en tant que test_test_111 . La clé pré-partagée doit être la même dans Vyatta et FortiGate.
-
Assurez-vous que la version Internet Key Exchange (version IKE ) est 1 et le Mode est défini sur Principal .
-
Vous devez utiliser les cryptages et paramètres suivants :
- Advanced Encryption Standard 128 (AES128), avec authentification définie surSecure Hash Algorithm 1 (SHA1)
- AES256, avec authentification définie sur SHA1
- Triple DES (3DES), avec authentification définie sur message digestalgorithm 5 (MD5)
Vous devez également utiliser les paramètres suivants :
- Groupes Diffie-Hellman (DH) :14,5, et 2
- Durée de vie de la clé :3600 secondes
-
L'adresse locale est l'adresse du LAN. L'adresse distante est l'IP de sous-réseau privé de l'appliance Vyatta. Utilisez les cryptages et paramètres suivants :
- AES128, avec authentification définie sur SHA1
- AES256, avec authentification définie sur SHA1
- 3DES, avec authentification définie sur MD5
Vous devez également utiliser les paramètres suivants :
- Groupes DH :14,5, et 2
- Durée de vie de la clé :3600 secondes
-
Sélectionnez Réseau et ajoutez la route statique 10.181.192.0/19 (le sous-réseau de l'appliance Vyatta).
-
Ajoutez une politique de pare-feu qui autorise le trafic entre les deux sous-réseaux privés.
-
Enfin, sélectionnez VPN> Monitor> IPsec Monitor et vérifiez que le Statut s'affiche sous la forme UP .