Приветствуем вас на портале TS University!

В этом материале мы разберём один из часто встречающихся сценариев в корпоративных сетях: построение защищённого Site-to-Site VPN между «Континент 4» и Fortinet FortiGate.

Такой гибридный вариант нужен, когда инфраструктура построена на разных вендорах, либо когда требуется связать филиал, где уже стоит Fortigate, с головным офисом, использующим «Континент 4».

Мы последовательно настроим обе стороны, сверим параметры шифрования и покажем, на что нужно обратить особое внимание, чтобы туннель поднялся с первого раза.
Общая схема сети приведена на рисунке:

Будет использоваться Policy-based VPN на основе VPN-политики. Для аутентификации сторон будет использоваться секретный ключ.

В первую очередь на узле должен быть активирован компонент «L3VPN».

Далее перейдите в раздел «Интерфейсы».

Для работы шифратора должны быть настроены внешний и внутренний интерфейсы.

В разделе «Статические маршруты» укажите маршрут по умолчанию или маршрут до другого VPN-узла. В данном случае будет указан маршрут до удаленного пира.

Далее перейдите на вкладку «IPsec VPN».

В разделе «Защищаемые ресурсы» укажите подсети, которые будут маршрутизироваться в VPN-туннель.

Для проверки доступности при настройке можно разрешить ICMP-сообщения из локальных сетей.

В первую очередь в разделе «Список объектов ЦУС» нужно создать совместимое устройство.

Необходимо ввести: внешний адрес устройства, его идентификатор, общий ключ (Pre-shared key) и защищаемые подсети.

Затем в разделе «Виртуальные частные сети», подразделе «IPsec VPN» создайте сеть с необходимой топологией. В данном примере будет создана полносвязная сеть.

Выберите тип VPN (Policy-based), тип туннеля.

На вкладке «Состав сети» укажите список узлов VPN-сети.

В графе «Адрес» укажите адреса внешних интерфейсов узлов. В графе «Защищаемые ресурсы» - локальные сети.

Обратите внимание: следующие настройки должны совпадать на обоих узлах, иначе связь между ними установить не получится.

На вкладке «Шифрование» укажите:

• тип алгоритма (RSA)
• версию (IKEv2)
• а также алгоритмы шифрования и целостности для 1 и 2 фазы VPN-соединения.

Также в данном примере будет использоваться PFS.

На вкладке «Дополнительно» укажите время жизни ключей для 1 и 2 фазы.

А также при необходимости:

• замену ключа после шифрования определенного объема данных
• использование протокола сжатия
• использование NAT-Traversal.

Разрешите в правилах межсетевого экрана прохождение  трафика между локальной и удаленной сетями.

В правилах трансляции для указанных подсетей выберите «Не транслировать».

Аналогично настройкам «Континента 4», для работы шифратора должны быть настроены внешний и внутренний интерфейсы.

Для проверки работоспособности VPN-туннеля разрешим ping на внутреннем интерфейсе.

Маршрутом до другого узла будет маршрут по умолчанию через 10.10.50.254;

Дополнительно указан маршрут до подсети «Континент 4» 10.0.1.0 через интерфейс VPN-туннеля FG-KB (он будет создан далее).

В первую очередь укажем адрес удаленного узла и интерфейс, через который он доступен.

Включим NAT-Traversal для инкапсуляции трафика в UDP-датаграммы.

Включим Dead Peer Detection (DPD) для определения потери связи с удаленным узлом. Другие настройки можно оставить по умолчанию.

Для аутентификации будет использоваться секретный ключ. Версия протокола IKE – 2.

Укажите:

• протоколы шифрования и аутентификации 2 фазы
• DH-группу для PFS
• время жизни ключа 2 фазы
• автонастройку параметров шифрования при необходимости.

Примечание: в данном случае в настройках 2 фазы указаны 2 возможных предложения протоколы шифрования и аутентификации: AES128 + SHA256 и AES256 + SHA256. При включенной автонастройке узлы автоматически согласуют наиболее безопасный вариант для использования, в данном случае - AES256 + SHA256.