Come si configura una VPN da sito a sito tra un dispositivo QuWAN e Fortinet®?

Configurare le seguenti impostazioni sul dispositivo FortiGate® per stabilire un tunnel VPN IPsec da sito a sito con il router connesso a QuWAN. Definire il metodo di autenticazione, gli algoritmi di crittografia e le impostazioni di scambio delle chiavi per garantire una connessione sicura. L'abilitazione di opzioni come NAT traversal e rilevamento dei peer disattivati per mantenere la stabilità del tunnel e la compatibilità con il framework VPN di QuWAN. Le seguenti impostazioni si basano sulla Guida in linea di FortiProxy 1.1.0 per un dispositivo FortiGate® 300C.

1. Accedere all'interfaccia utente di FortiGate®.
2. Andare su VPN > IPSec > Tunnels (Tunnel).
3. Fare clic su Create New (Crea nuovo).
4. Configurare le impostazioni VPN IPSec.
   

   Impostazioni generali

   Impostazione	Azione utente
   Name (Nome)	Immettere un nome univoco per il tunnel VPN.
   Comments (Commenti) (opzionale)	Aggiungere una descrizione per il tunnel.
   Enable IPsec Interface Mode (Abilita modalità interfaccia IPsec)	Selezionare per attivare IPsec per il tunnel VPN.

   Impostazioni di rete

   Impostazione	Azione utente
   IP Version (Versione IP)	Selezionare IPv4 come versione del protocollo.
   Remote Gateway (Gateway remoto)	Scegliere Static IP Address (Indirizzo IP statico) se il peer remoto ha un IP fisso.
   IP Address (Indirizzo IP)	Immettere l'indirizzo IP del peer remoto.
   Interface (Interfaccia)	Selezionare l'interfaccia di rete per il tunnel VPN.
   Mode Config (Configurazione modalità) (opzionale)	Consente di assegnare indirizzi IP ai client VPN.
   NAT Traversal	Abilitare NAT Traversal se un dispositivo NAT si trova tra i peer.
   Keepalive Frequency (Frequenza Keepalive)	Impostare la frequenza di invio dei pacchetti keepalive.
   Dead Peer Detection (Rilevamento peer inattivati)	Attiva il rilevamento dei peer morti per rilevare e rimuovere i peer VPN che non rispondono.

   

   Impostazioni di autenticazione

   Impostazione	Azione utente
   Method (Metodo)	Selezionare Pre-shared Key (Chiave precondivisa) per l'autenticazione.
   Pre-shared Key (Chiave precondivisa)	Copiare la chiave pre-condivisa dalla finestra di configurazione della connessione VPN basata su route in QuWAN Orchestrator e incollarla nel campo della chiave precondivisa.
   IKE Version (Versione IKE)	Selezionare 2 per la versione IKE.
   Mode (Modalità)	Selezionare Main (ID Protection) (Principale (protezione ID)) per la gestione sicura dell'identità.

   

   Impostazioni Proposta fase 1

   Nota

   Verificare che entrambe le periferiche abbiano impostazioni di crittografia e autenticazione corrispondenti.

   Impostazione	Azione utente
   Encryption (Crittografia)	Selezionare algoritmo di crittografia AES256.
   Authentication (Autenticazione)	Selezionare SHA256 per l'autenticazione.
   Diffie-Hellman Groups (Gruppi Diffie-Hellman)	Selezionare gruppi di scambio chiavi, ad esempio 2, 5, 14, 15, 16, 19, 20 o 21.
   Key Lifetime (seconds) (Durata chiave (secondi))	Impostare per quanto tempo la chiave di crittografia rimane valida (impostazione predefinita: 86400 secondi).
   Local ID (ID locale)	Immettere un ID locale, se necessario. Se si utilizza un servizio DDNS (Dynamic DNS) per una connessione VPN IPsec basata su route, è necessario impostare l'ID locale in formato FQDN.

   

   Impostazioni XAUTH

   Impostazione	Azione utente
   Type (Tipo)	Selezionare Disabled (Disabilitato) tranne se è necessaria l'autenticazione estesa.

   Selettori Fase 2

   Impostazione	Azione utente
   Local Address (Indirizzo locale)	Definire la rete locale (impostazione predefinita: 0.0.0.0/0).
   Remote Address (Indirizzo remoto)	Definire la rete remota (impostazione predefinita: 0.0.0.0/0).

   

   Impostazioni Fase 2

   Impostazione	Azione utente
   Name (Nome)	Mantenere lo stesso nome della Fase 1 o modificarlo, se necessario.
   Comments (Commenti)  (opzionale)	Aggiungere una descrizione.
   Local Address (Indirizzo locale)	Selezionare Subnet e configurare l'intervallo di rete locale.
   Remote Address (Indirizzo remoto)	Selezionare Subnet e configurare l'intervallo di rete remoto.

5. Fare clic su OK.

Il dispositivo FortiGate® crea il tunnel VPN IPSec.

Per connettere un router connesso a QuWAN a un dispositivo FortiGate®, è necessario configurare una VPN basata su route. Questo metodo stabilisce un tunnel crittografato che indirizza il traffico tra le due reti in base a criteri di routing. A differenza delle VPN basate su policy, le VPN basate su route supportano il routing dinamico e più subnet, garantendo un controllo preciso del traffico e uno scambio efficiente dei dati tra i siti connessi.

Prima di configurare una connessione VPN basata su route in QuWAN Orchestrator, verificare che la configurazione sia corretta sul dispositivo peer. Questo fa riferimento al dispositivo all'altra estremità del tunnel VPN, come un altro router o firewall.

1. Accedere a QuWAN Orchestrator.
2. Accedere a Topologia QuWAN > VPN basata su route.
3. Fare clic su Crea nuova connessione.
   Viene visualizzata la finestra Crea nuova connessione .
4. Specificare un nome di connessione compreso tra 1 e 64 caratteri.
5. Selezionare Modalità tunnel come modalità IPSec.
6. Selezionare un hub per instradare il traffico e la gestione centrale.
7. Selezionare la porta dell'interfaccia WAN.
8. Specificare l'indirizzo IP pubblico o il nome host del dispositivo gateway remoto.
9. Fare clic su Test connessione per verificare la connessione del gateway remoto.
10. Specificare una chiave precondivisa.
    Nota

    Verificare che la chiave precondivisa sul dispositivo remoto sia identica a quella configurata in QuWAN Orchestrator.
11. Opzionale: fare clic su Impostazioni avanzate per visualizzare ulteriori opzioni di configurazione per le connessioni VPN basate su route.
12. Configurare le impostazioni IKE (Internet Key Exchange):
    1. Selezionare la versione IKE.
    2. Selezionare l'algoritmo di autenticazione.
    3. Selezionare un metodo di crittografia adatto.
    4. Selezionare un gruppo Diffie-Hellman (DH).
       Nota

       I gruppi DH definiscono la forza crittografica per stabilire in modo sicuro una chiave privata durante la comunicazione iniziale.
    5. Definire la durata della SA (Security Association) IKE per ridurre i rischi crittografici associati all'esposizione delle chiavi.
    6. Opzionale: specificare l'ID locale (nome di dominio) per l'autenticazione del sito remoto.
    7. Fornire l'ID locale solo se il DDNS è configurato per la connessione VPN basata su route.
13. Configurare le impostazioni ESP (Encapsulating Security Payload):
    1. Selezionare l'algoritmo di autenticazione.
    2. Selezionare un metodo di crittografia adatto.
    3. Selezionare Abilita Perfect Forward Secrecy (PFS) per generare una nuova chiave DH.
    4. Selezionare un gruppo DH.
    5. Consente di definire la durata dell'ESP SA.
    6. Opzionale: selezionare Abilita Dead Peer Detection (DPD) per identificare e rispondere alle interruzioni del dispositivo peer.
    7. Specificare il valore di timeout DPD in secondi.
14. Opzionale: selezionare Abilita modalità NAT  per garantire che la connessione VPN funzioni correttamente anche quando nella rete sono presenti dispositivi NAT.
    1. Specificare l'indirizzo IP del tunnel locale per facilitare l'attraversamento NAT.
15. Opzionale: configurare le impostazioni della subnet del sito:
    1. In Subnet del sito, fare clic su Aggiungi subnet.
    2. Specificare una subnet del sito.
    3. Specificare una descrizione.
    4. Fare clic su .
16. Fare clic su Crea.
    QuWAN Orchestrator crea la connessione VPN basata su route.
17. Identificare la connessione VPN basata su route FortiGate® nella pagina Topologia QuWAN/VPN basata su Route.
18. Fare clic su  per attivare la connessione VPN basata su route.

QuWAN Orchestrator stabilisce la connessione VPN da sito a sito tra il router QNAP e il dispositivo Fortinet® FortiGate®.