FortiGate在AWS上配置IPsec方法
- 项目背景
- 需求描述
架构图
如架构图所示,客户有北京和香港两个AWS环境,已经通过专线打通。现在需求是在北京和香港各部署一台Fortigate作为分流使用,北京客户的访问流量如果是要到海外则通过专线到香港的Fortigate出去。
- 测试步骤
- 北京区和宁夏区部署Fortigate节点
- 打通北京和宁夏两个Fortigate节点的IPSec VPN
- 配置SSLVPN、PPTP、L2TP、安卓或IOS客户端到北京区Fortigate
- 配置SD-WAN用于分流去往海外的流量
- 测试环境=====北京区=====
54.223.163.85
10.0.1.202
instance-id: i-0852bc90ebdfb348a
=====香港区=====
18.166.81.208
10.1.0.62
instance-id:i-0bb69c9c7ae9afefc
安全组
ipsec vpn隧道建立,需要开放udp 500和4500
两台Fortigate关闭源和目标检查 - 修改Fortigate时区和语言选择左侧System-Settings,在右侧修改时区为北京
如果想要修改语言可以往下拉修改
- 创建用户和组
- 创建用户选择左侧User&Device- User Definition- Create New
选择Local User
输入用户名密码
后面都默认即可
- 创建组创建用户组
起个名字,添加刚才创建的用户即可
- 北京区配置选择VPN-IPsecTunnels,右侧选择CreateNew-IPsecTunnel
之后如果选择模板部署后期还需要改动,所以我们选择自定义部署
起个名字,选择自定义,下一步
输入对端香港的内网地址和接口,其他默认即可
输入互相协商的初始秘钥,其他保持默认
本地和远端的网段打通都输入0.0.0.0/0,具体的网段打通可以通过路由和策略控制,所以这里我们设置打通所有即可。
加密只保留AES和SHA即可,删掉其他加密算法。
勾上自动协商。
北京区接口配置完成
配置接口策略
左侧选择Policy&Objects-IPv4 Policy
右侧输入名称,选择入流量端口,选择出流量端口为刚才创建的VPNtoHK
源和目标选择全部放行
NAT功能打开
测试的话我们可以打开全部日志收集功能
之后在左侧Network-Interfaces这里我们就能看到我们创建的VPN接口了
选择VPN接口,Edit
定义一个VPN接口的IP和对端的VPN接口IP
选择Ping协议用来测试VPN通道连通性
到此北京区的站到站VPN配置完成。
- 香港区配置过程和北京区是完全相同的。选择VPN-IPsecTunnels,右侧选择CreateNew-IPsecTunnel
选择自定义部署,起个名字,选择自定义,下一步
输入北京区内网IP,选择端口
填写相同的协商秘钥
填写地址范围为全部,只留下AES和SHA的加密算法,勾选自动协商
配置接口IP
配置本端和对端IP,配置Ping协议用于测试连通性
- 配置接口策略
选择刚才创建的接口
配置源和目标范围
NAT功能打开
策略配置完成
- 添加静态路由添加两条静态路由
- 0.0.0.0/0 port1 下一跳为本地网关,用于AWS VPC内部机器访问其他地址段
- 本地网段VPN接口,用于访问本地网段
- AWS VPC 子网路由表添加静态回程路由在AWS对应子网路由表中添加指向本地网段的路由,下一跳指向FortiGate接口
查看隧道状态
选择左侧Monitor,IPsecMonitor,看到右侧状态为启动
测试通道连通性
登陆命令行Ping刚才设置的IPsec接口IP
如果不通可以用抓包命令查看
这里北京ping香港不通,香港ping北京可以通,之后北京再ping香港也通了,测试成功。
出现这个问题可能是NAT配置的原因,可以调整一下接口的NAT配置
NAT Tarversal改成Forced,Dead Peer改成On Idle,两端都需要改一下。
- 对接华为
- 对接华为产品时,需要将IPSec阶段二的感兴趣流配置成和华为一样的具体的网段,不可以写0.0.0.0/0。
- 华为产品需要添加双向的NONAT策略,否则路由是不通的
- 配置华为IPSec通道时不能指定地址组,必须直接输入地址段,否则会报错
- 接口需要关联对应IPSec策略
- 对接华三
- 配置IPSec VPN
- 备份和恢复配置方式右上角选择备份或者恢复
指定位置保存即可
- 对接友商注意事项
- 项目测试
- 对接华三产品时,阶段二感兴趣流不能直接配置IP端,要设置地址组后添加