Hoe kan ik een site-to-site VPN instellen tussen een QuWAN- en een Fortinet®-apparaat?

Configureer de volgende instellingen op uw FortiGate®-apparaat om een IPsec site-to-site VPN-tunnel in te stellen met uw QuWAN-verbonden router. Definieer de authenticatiemethode, versleutelingsalgortimes en voornaamste uitwisselingsinstellingen voor een veilige verbinding. Stel opties in zoals NAT traversal en Dead Peer Detection om de stabiliteit van de tunnel en compatibiliteit met het QuWAN VPN-framework te garanderen. Onderstaande instellingen zijn gebaseerd op de FortiProxy 1.1.0 Online Help voor een FortiGate® 300C-apparaat.

1. Meld u aan bij de FortiGate®-gebruikersinterface.
2. Ga naar VPN > IPSec > Tunnels.
3. Klik op Create New (Nieuw maken).
4. Configureer de IPSec VPN-instellingen.
   

   Algemene instellingen

   Instelling	Gebruikersactie
   Name (Naam)	Voer een unieke naam in voor de VPN-tunnel
   Comments (Commentaren) (Optioneel)	Voeg een beschrijving toe voor de tunnel.
   Enable IPsec Interface Mode (IPsec interface-modus inschakelen)	Selecteer dit om IPsec voor de VPN-tunnel in te schakelen.

   Netwerkinstellingen

   Instelling	Gebruikersactie
   IP Version (IP-versie)	Selecteer IPv4 als de protocolversie.
   Remote Gateway (Externe gateway)	Kies Static IP Address (Statisch IP-adres) als de externe peer een vast IP-adres heeft.
   IP Address (IP-adres)	Voer het IP-adres in van de externe peer.
   Interface	Selecteer de netwerkinterface voor de VPN-tunnel.
   Mode Config (Modusconfig) (Optioneel)	Schakel dit in om IP-adressen toe te wijzen aan VPN-clients.
   NAT Traversal	Schakel NAT Traversal in in geval van een NAT-apparaat tussen de peers.
   Keepalive Frequency	Stel in hoe vaak keepalive-pakketten worden verstuurd.
   Dead Peer Detection	Schakel Dead Peer Detection in om niet-reagerende VPN-peers te detecteren en verwijderen.

   

   Instellingen voor authenticatie

   Instelling	Gebruikersactie
   Method (Methode)	Selecteer Pre-shared Key (Vooraf gedeelde sleutel) voor authenticatie.
   Pre-shared Key (Vooraf gedeelde sleutel)	Kopieer de vooraf gedeelde sleutel uit het configuratievenster van de VPN-verbinding op basis van route in QuWAN Orchestrator en plak deze in het vooraf gedeelde sleutel-veld.
   IKE Version (IKE-versie)	Selecteer 2 voor de IKE-versie.
   Mode (Modus)	Selecteer Main (ID Protection) (Belangrijkste (ID-beveiliging)) voor veilige verwerking van identiteitsgegevens.

   

   Fase 1 voorgestelde instellingen

   Opmerking

   Zorg ervoor dat beide apparaten dezelfde coderings- en authenticatie-instellingen hebben.

   Instelling	Gebruikersactie
   Encryption (Versleuteling)	Selecteer het versleutelingsalgorithme AES256.
   Authentication (Authenticatie)	Selecteer SHA256 voor authenticatie.
   Diffie-Hellman Groups (Diffie-Hellman-groepen)	Selecteer sleuteluitwisselingsgroepen zoals 2, 5, 14, 15, 16, 19, 20 of 21.
   Key Lifetime (seconds) (Sleutellevensduur (seconden))	Stel in hoe lang de encryptiesleutel geldig blijft (standaard: 86400 seconden).
   Local ID (Lokale ID)	Voer een lokale ID in indien vereist. Als u een Dynamic DNS-service (DDNS) gebruikt voor een routegebaseerde IPsec VPN-verbinding moet u de lokale ID instellen in FQDN-indeling.

   

   XAUTH-instellingen

   Instelling	Gebruikersactie
   Type	Selecteer Disabled (Uitgeschakeld) tenzij uitgebreide authenticatie is vereist.

   Fase 2 Selectoren

   Instelling	Gebruikersactie
   Local Address (Lokaal adres)	Definieer het lokaal netwerk (standaard: 0.0.0.0/0).
   Remote Address (Extern adres)	Definieer het extern netwerk (standaard: 0.0.0.0/0).

   

   Fase 2 Instellingen

   Instelling	Gebruikersactie
   Name (Naam)	Gebruik dezelfde naam als Fase 1 of wijzig hem desgevallend.
   Comments (Commentaren) (Optioneel)	Voeg een beschrijving toe.
   Local Address (Lokaal adres)	Selecteer Subnet en configureer het lokale-netwerkbereik.
   Remote Address (Extern adres)	Selecteer Subnet an configureer het externe-netwerkbereik.

5. Klik op OK.

Het FortiGate®-apparaat creëert de IPSec VPN-tunnel.

Om een QuWAN-verbonden router aan te sluiten op een FortiGate®-apparaat, moet u een VPN op basis van route configureren. Deze methode vestigt een versleutelde tunnel die het verkeer regelt tussen twee netwerken gebaseerd op routingbeleid. In tegenstelling tot VPN's op basis van beleid, ondersteunen VPN's op basis van route dynamische routing en meerdere subnetten, wat nauwkeurige verkeersregeling en efficiënte gegevensuitwisseling tussen de verbonden sites garandeert.

Alvorens een VPN-verbinding op basis van route in QuWAN Orchestrator te configureren, moet u zorgen voor de juiste configuratie op het peerapparaat. Dit verwijst naar het apparaat aan het andere eind van de VPN-tunnel, zoals een andere router of firewall.

1. Meld u aan bij QuWAN Orchestrator.
2. Ga naar QuWAN-topologie > VPN op basis van route.
3. Klik op Nieuwe verbinding maken.
   Het venster Nieuwe verbinding maken  wordt geopend.
4. Geef een verbindingsnaam van 1 tot 64 tekens op.
5. Selecteer Tunnelmodus als de IPSec-modus.
6. Selecteer een hub om verkeer en centraal beheer te routen.
7. Selecteer de WAN-interfacepoort.
8. Geef het openbaar IP-adres of de hostnaam van het externe gateway-apparaat op.
9. Klik op Verbinding testen om de verbinding met de externe gateway te testen.
10. Geef een voorafgedeelde sleutel op.
    Opmerking

    Zorg ervoor dat de voorafgedeelde sleutel op het extern apparaat dezelfde is als diegene die in QuWAN Orchestrator is geconfigureerd.
11. Optioneel: Klik op Geavanceerde instellingen voor bijkomende configuraties voor VPN-verbindingen op basis van routes.
12. Configureer de instellingen voor Internet Key Exchange (IKE):
    1. Selecteer de IKE-versie.
    2. Selecteer het authenticatie-algoritme.
    3. Selecteer een geschikte versleutelingsmethode.
    4. Selecteer een Diffie-Hellman-groep (DH).
       Opmerking

       DH-groepen definiëren de cryptografische sterkte om veilig een persoonlijke sleutel in te stellen tijdens initiële communicatie.
    5. Definieer de duur van de IKE Security Association (SA) om cryptografische risico's in verband met blootstelling aan sleutels te verminderen.
    6. Optioneel: Geef de lokale ID (domeinnaam) op voor authenticatie op externe sites.
    7. Geef alleen een lokale ID op als DDNS is geconfigureerd voor de VPN-verbinding op basis van route.
13. Configureer de instellingen voor Encapsulating Security Payload (ESP):
    1. Selecteer het authenticatie-algoritme.
    2. Selecteer een geschikte versleutelingsmethode.
    3. Selecteer 'Perfect Forward Secrecy' (PFS) inschakelen om een nieuwe DH-sleutel in te stellen.
    4. Selecteer een DH-groep.
    5. Bepaal de duur van de ESP SA.
    6. Optioneel: Selecteer 'Dead Peer Detection' (DPD) inschakelen om uitvallen van peerapparaten te identificeren en erop te reageren.
    7. Geef de DPD-timeoutwaarde in seconden op.
14. Optioneel: Selecteer NAT-modus inschakelen  om ervoor te zorgen dat de VPN-verbindingsfuncties goed werken, zelfs als er NAT-apparaten aanwezig zijn in het netwerk.
    1. Geef het IP-adres van de lokale tunnel op om NAT traversal mogelijk te maken.
15. Optioneel: Configureer de subnetinstellingen van de site.
    1. Klik onder Locatiesubnets op Subnet toevoegen.
    2. Geef een locatiesubnet op.
    3. Geef een beschrijving op.
    4. Klik op .
16. Klik op Maken.
    QuWAN Orchestrator maakt een VPN-verbinding op basis van route.
17. Identificeer de FortiGate® routegebaseerde VPN-verbinding op de pagina QuWAN-topologie/VPN op basis van route.
18. Klik op   om de VPN-verbinding op basis van route in te schakelen.

QuWAN Orchestrator maakt een site-to-site VPN-verbinding tussen de QNAP-router en het Fortinet® FortiGate®-apparaat.