GNU/Linux >> Tutoriales Linux >  >> Linux

Cree una conexión VPN IPsec de sitio a sitio entre Vyatta y FortiGate

Este artículo le muestra cómo crear una conexión de red privada virtual (VPN) de seguridad de protocolo de Internet (IPsec) de sitio a sitio entre un enrutador Vyatta® (Rackspace) y FortiGate® mediante el uso de un nombre dinámico de sistema de nombres de dominio (DDNS). La configuración de una VPN IPsec entre dos puntos finales generalmente requiere una dirección de Protocolo de Internet (IP) estática en ambos extremos. Sin embargo, el dispositivo de servidor Vyatta tiene una opción para configurar un nombre DDNS para configurar una VPN.

La siguiente tabla muestra el lado izquierdo como el punto A (el dispositivo Rackspace Vyattarouter) y el lado derecho (FortiGate con una dirección IP dinámica y un nombre DDNS) como el punto B:

Punto A (enrutador Vyatta) Punto B (FortiGate con dirección IP dinámica y nombre DDNS)
Dispositivo :Dispositivo de enrutador Vyatta en Rackspace
eth0 :134.213.135.XXX (IP pública)
eth1 :10.181.200.XXX (IP privada) 		Dispositivo :Fortigate cortafuegos
wan1 :IP dinámica con el nombre DDNS forti.fortiddns.com
interno :192.168.10.0/24 (subred de red de área local (LAN))

Después de establecer con éxito una conexión de túnel VPN IPsec de sitio a sitio entre Vyatta y FortiGate, puede hacer ping a la dirección IP privada del enrutador Vyatta (como 10.181.200.XXX) desde cualquier dirección IP interna (como 192.168.1.7).

FortiGate le permite crear un nombre DDNS. Para obtener información sobre cómo configurar un nombre DDNS en FortiGate, consulte Cómo configurar DDNS en un dispositivo FortiGate.

Paso 1:Configure la VPN IPsec en el dispositivo de enrutador Vyatta

Utilice los siguientes pasos para configurar la VPN IPsec en el dispositivo de enrutador Vyatta:

  1. Inicie sesión en el servidor Vyatta utilizando Secure Shell (SSH), como se muestra en el siguiente ejemplo:

    $ssh vyatta@cloud-server-09
vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details
$configure                                                                                         //Move to configuration mode
vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0
[edit]
vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces
+interface eth0
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600
[edit]

  2. Configure la clave de conexión IPsec y la configuración de DDNS, como se muestra en el siguiente ejemplo:

    vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name
[edit]
vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set default-esp-group ESP-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set ike-group IKE-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate
vyatta@cloud-server-09# top
vyatta@cloud-server-09# commit

vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

Paso 2:Configure la VPN IPsec en el firewall FortiGate

Utilice los siguientes pasos para configurar la VPN IPsec en el firewall de FortiGate:

  1. Inicie sesión en el firewall de FortiGate como usuario administrativo.

  2. Seleccione VPN> IPsec> Túnel> Crear nuevo> Túnel VPN personalizado .

  3. En el Nombre campo, ingrese RSVPN .

  4. Seleccione Dirección IP estática e ingrese la dirección IP pública del dispositivo Vyattarouter en Dirección IP columna.

  5. En la Autenticación sección, seleccione Clave precompartida e ingrese la clave como test_test_111 . La clave precompartida debe ser la misma en Vyatta y FortiGate.

  6. Asegúrese de que la versión de Internet Key Exchange (versión IKE ) es 1 y el Modo está configurado como Principal .

  7. Debe utilizar los siguientes cifrados y configuraciones:

    • Advanced Encryption Standard 128 (AES128), con autenticación establecida en Secure Hash Algorithm 1 (SHA1)
    • AES256, con autenticación establecida en SHA1
    • Triple DES (3DES), con autenticación establecida en mensaje digestalgorithm 5 (MD5)

    También debe usar la siguiente configuración:

    • Grupos Diffie-Hellman (DH) :14, 5 y 2
    • Vida útil de la clave :3600 segundos

  8. La dirección local es la dirección de la LAN. La dirección remota es la IP de subred privada del dispositivo Vyatta. Utilice los siguientes cifrados y configuraciones:

    • AES128, con autenticación establecida en SHA1
    • AES256, con autenticación establecida en SHA1
    • 3DES, con autenticación establecida en MD5

    También debe usar la siguiente configuración:

    • Grupos DH :14, 5 y 2
    • Vida útil de la clave :3600 segundos

  9. Seleccione Red y agregue la ruta estática 10.181.192.0/19 (la subred del dispositivo Vyatta).

  10. Agregue una política de firewall que permita el tráfico entre las dos subredes privadas.

  11. Finalmente, seleccione VPN> Monitorear> Monitorear IPsec y verifique que el Estado se muestra como ARRIBA .


Linux

  1. Configuración VPN IPsec

  2. ¿La diferencia entre [[ $a ==Z* ]] y [ $a ==Z* ]?

  3. ¿Crear un punto de acceso inalámbrico y compartir la conexión a Internet con Nmcli?

  4. ¿Diferencia entre $HOME y '~' (tilde)?

  5. diferencia entre cgroups y espacios de nombres

Establecer una conexión SSH entre Windows y Linux

Cómo crear un emparejamiento de VPC entre 2 VPC en AWS

Cree una base de datos y una tabla MySQL usando PHP en XAMPP

Explicación de la diferencia entre apt y apt-get

Cómo crear su propio servidor VPN IPsec en Linux

Vim vs Vi:¿similitudes y diferencias entre VIM y VI?