GNU/Linux >> Linux の 問題 >  >> Linux

VyattaとFortiGateの間にサイト間IPsecVPN接続を作成します

この記事では、ダイナミックドメインネームシステム(DDNS)名を使用して、Vyatta®ルーター(Rackspace)とFortiGate®の間にサイト間インターネットプロトコルセキュリティ(IPsec)仮想プライベートネットワーク(VPN)接続を作成する方法を説明します。 2つのエンドポイント間でIPsecVPNを構成するには、通常、両端に静的インターネットプロトコル(IP)アドレスが必要です。ただし、Vyatta serverapplianceには、aVPNを構成するためにDDNS名を構成するオプションがあります。

次の表は、左側をポイントA(Rackspace Vyattarouterアプライアンス)、右側(動的IPアドレスとDDNS名を持つFortiGate)をポイントBとして示しています。

ポイントA(Vyattaルーター) ポイントB(動的IPアドレスとDDNS名を持つFortiGate)
デバイス :RackspaceのVyattaルーターアプライアンス
eth0 :134.213.135.XXX(パブリックIP)
eth1 :10.181.200.XXX(プライベートIP)		 デバイス :ファイアウォールを強化する
wan1 :DDNS名がforti.fortiddns.comのダイナミックIP
内部 :192.168.10.0 / 24(ローカルエリアネットワーク(LAN)サブネット)

VyattaとFortiGateの間にサイト間IPsecVPNトンネル接続を正常に確立した後、任意の内部IPアドレス(192.168.1.7など)からVyattaルーターのプライベートIPアドレス(10.181.200.XXXなど)にpingを実行できます。

FortiGateを使用すると、DDNS名を作成できます。 FortiGateでDDNS名を設定する方法については、「FortiGateデバイスでDDNSを設定する方法」を参照してください。

ステップ1:VyattaルーターアプライアンスでIPsecVPNを構成する

次の手順を使用して、VyattarouterapplianceでIPsecVPNを構成します。

  1. 次の例に示すように、Secure Shell(SSH)を使用してVyattaサーバーにログインします。

    $ssh vyatta@cloud-server-09
vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details
$configure                                                                                         //Move to configuration mode
vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0
[edit]
vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces
+interface eth0
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5
[edit]
vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600
[edit]

  2. 次の例に示すように、IPsec接続キーとDDNS設定を構成します。

    vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name
[edit]
vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set default-esp-group ESP-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set ike-group IKE-RS
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP
[edit vpn ipsec site-to-site peer forti.fortiddns.com]
vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate
vyatta@cloud-server-09# top
vyatta@cloud-server-09# commit

vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

ステップ2:FortiGateファイアウォールでIPsecVPNを構成する

次の手順を使用して、FortiGateファイアウォールでIPsecVPNを設定します。

  1. 管理ユーザーとしてFortiGateファイアウォールにログインします。

  2. VPN>IPsec>トンネル>新規作成>カスタムVPNトンネルを選択します 。

  3. 名前 フィールドにRSVPNと入力します 。

  4. 静的IPアドレスを選択します IPアドレスにVyattarouterアプライアンスのパブリックIPアドレスを入力します 列。

  5. 認証 セクションで、事前共有キーを選択します キーをtest_test_111として入力します 。事前共有キーは、VyattaとFortiGateで同じである必要があります。

  6. インターネットキーエクスチェンジのバージョン(IKEバージョン)を確認します )は 1 およびモード メインに設定されています 。

  7. 次の暗号化と設定を使用する必要があります:

    • Advanced Encryption Standard 128(AES128)、認証がSecure Hash Algorithm 1(SHA1)に設定されている
    • AES256、認証がSHA1に設定されている
    • トリプルDES(3DES)、認証がメッセージダイジェストアルゴリズム5(MD5)に設定されている

    次の設定も使用する必要があります:

    • ディフィーヘルマン(DH)グループ :14、5、および2
    • 主要な存続期間 :3600秒

  8. ローカルアドレス LANのアドレスです。 リモートアドレス VyattaアプライアンスのプライベートサブネットIPです。次の暗号化と設定を使用します。

    • AES128、認証がSHA1に設定されている
    • AES256、認証がSHA1に設定されている
    • 3DES、認証がMD5に設定されている

    次の設定も使用する必要があります:

    • DHグループ :14、5、および2
    • 主要な寿命 :3600秒

  9. ネットワークを選択します 静的ルートを追加します10.181.192.0/ 19 (Vyattaアプライアンスのサブネット)。

  10. 2つのプライベートサブネット間のトラフィックを許可するファイアウォールポリシーを追加します。

  11. 最後に、VPN>モニター>IPsecモニターを選択します ステータスを確認します UPと表示されます 。


Linux

  1. [[$ a ==Z*]]と[$a==Z *]の違いは?

  2. ワイヤレスアクセスポイントを作成し、Nmcliとインターネット接続を共有しますか?

  3. SnatとMasqueradeの違いは?

  1. IPsecVPN構成

  2. VyattaとFortiGateの間にサイト間IPsecVPN接続を作成します

  3. Android と Linux の間で Wifi-Direct 接続をセットアップする方法

  1. ログインシェルと非ログインシェルの違いは?

  2. 2>&-、2> / dev / null、|&、&> / dev/nullと>/dev / null 2>&1の違いは?

  3. Sudo Su –とSudo Su —の違いは何ですか?