Jak skonfigurować sieć VPN typu lokacja-lokacja między urządzeniami QuWAN i Fortinet®?

Aby utworzyć połączenie tunelowe VPN IPsec typu lokacja-lokacja z routerem połączonym z siecią QuWAN, skonfiguruj następujące ustawienia na urządzeniu FortiGate®. Zdefiniuj metodę uwierzytelniania, algorytmy szyfrowania i ustawienia wymiany kluczy, aby zapewnić bezpieczeństwo połączenia. Włącz przechodzenie NAT i wykrywanie nieaktywnych urządzeń równorzędnych, aby zapewnić stabilność połączenia tunelowego i zgodność ze środowiskiem VPN QuWAN. Poniższe ustawienia są oparte na informacjach zawartych w pomocy online FortiProxy 1.1.0 dotyczącej urządzenia FortiGate® 300C.

1. Zaloguj się do interfejsu użytkownika urządzenia FortiGate®.
2. Wybierz kolejno VPN > IPSec > Tunnels (Tunele).
3. Kliknij opcję Create New (Utwórz nowy).
4. Skonfiguruj ustawienia VPN IPSec.
   

   Ustawienia ogólne

   Ustawienie	Działanie użytkownika
   Name (Nazwa)	Wprowadź unikatową nazwę tunelu VPN.
   Comments (Komentarz) (opcjonalnie)	Dodaj opis tunelu.
   Enable IPsec Interface Mode (Włącz tryb interfejsu IPsec)	Wybierz, aby włączyć architekturę IPsec w tunelu VPN.

   Ustawienia sieciowe

   Ustawienie	Działanie użytkownika
   IP Version (Wersja protokołu IP)	Wybierz wersję protokołu IPv4.
   Remote Gateway (Brama zdalna)	Wybierz opcję Static IP Address (Statyczny adres IP), jeśli równorzędne urządzenie zdalne ma stały adres IP.
   IP Address (Adres IP)	Wprowadź adres IP równorzędnego urządzenia zdalnego.
   Interface (Interfejs)	Wybierz interfejs sieciowy tunelu VPN.
   Mode Config (Konfiguracja trybu) (opcjonalnie)	Włącz, aby przypisać adresy IP klientom VPN.
   NAT Traversal (Przechodzenie NAT)	Włącz opcję NAT Traversal, jeśli urządzenie NAT znajduje się między urządzeniami równorzędnymi.
   Keepalive Frequency (Częstotliwość utrzymywania aktywności)	Ustaw częstotliwość wysyłania pakietów umożliwiających utrzymywania aktywności.
   Dead Peer Detection (Wykrywanie nieaktywnych urządzeń równorzędnych)	Włącz wykrywanie nieaktywnych urządzeń równorzędnych, aby wykrywać i usuwać urządzenia VPN, które nie odpowiadają.

   

   Ustawienia uwierzytelniania

   Ustawienie	Działanie użytkownika
   Method (Metoda)	Wybierz opcję Pre-shared Key (Klucz wstępny) na potrzeby uwierzytelniania.
   Pre-shared Key (Klucz wstępny)	Skopiuj klucz wstępny z okna konfiguracji połączenia trasowanego VPN na platformie QuWAN Orchestrator i wklej go w polu klucza wstępnego.
   IKE Version (Wersja protokołu IKE)	Wybierz wersję protokołu IKE 2.
   Mode (Tryb)	Wybierz opcję Main (ID Protection) (Główny — ochrona ID), aby włączyć bezpieczną obsługę tożsamości.

   

   Proponowane ustawienia fazy 1

   Uwaga

   Oba urządzenia muszą mieć odpowiednie ustawienia szyfrowania i uwierzytelniania.

   Ustawienie	Działanie użytkownika
   Encryption (Szyfrowanie)	Wybierz algorytm szyfrowania AES256.
   Authentication (Uwierzytelnianie)	Wybierz opcję uwierzytelniania SHA256.
   Diffie-Hellman Groups (Grupy Diffie-Hellman)	Wybierz grupy wymiany kluczy, np. 2, 5, 14, 15, 16, 19, 20 lub 21.
   Key Lifetime (seconds) (Okres ważności klucza, w sekundach)	Ustaw okres ważności klucza szyfrowania (domyślnie: 86400 s)
   Local ID (Identyfikator lokalny)	Wprowadź identyfikator lokalny, jeśli jest wymagany. Jeśli w połączeniu trasowanym VPN IPsec jest używana usługa Dynamic DNS (DDNS), identyfikator lokalny musi mieć format FQDN.

   

   Ustawienia XAUTH

   Ustawienie	Działanie użytkownika
   Type (Typ)	Wybierz opcję Disabled (Wyłączone), chyba że jest wymagane jest rozszerzone uwierzytelnianie.

   Selektory fazy 2

   Ustawienie	Działanie użytkownika
   Local Address (Adres lokalny)	Zdefiniuj sieć lokalną (domyślnie: 0.0.0.0/0).
   Remote Address (Adres zdalny)	Zdefiniuj sieć zdalną (domyślnie: 0.0.0.0/0).

   

   Ustawienia fazy 2

   Ustawienie	Działanie użytkownika
   Name (Nazwa)	Zachowaj nazwę z fazy 1 lub zmień ją w razie potrzeby.
   Comments (Komentarze)  (opcjonalnie)	Dodaj opis.
   Local Address (Adres lokalny)	Wybierz opcję Subnet (Podsieć) i skonfiguruj zakres adresów sieci lokalnej.
   Remote Address (Adres zdalny)	Wybierz opcję Subnet (Podsieć) i skonfiguruj zakres adresów sieci zdalnej.

5. Kliknij przycisk OK .

Urządzenie FortiGate® utworzy tunel VPN IPSec.

Aby nawiązać połączenie między routerem połączonym z siecią QuWAN a urządzeniem FortiGate®, należy skonfigurować połączenie trasowane VPN. W tej metodzie jest tworzony szyfrowany tunel, w którym ruch między sieciami jest kierowany na podstawie zasad routingu. Inaczej niż w przypadku sieci VPN opartych na zasadach sieci VPN oparte na trasach obsługują routing dynamiczny i wiele podsieci, co zapewnia precyzyjną kontrolę nad ruchem i efektywną wymianę danych między połączonymi lokacjami.

Przed skonfigurowaniem połączenia trasowanego VPN na platformie QuWAN Orchestrator należy zadbać o prawidłową konfigurację na urządzeniu równorzędnym. Dotyczy to urządzenia na drugim końcu tunelu VPN, np. innego routera lub zapory.

1. Zaloguj się do platformy QuWAN Orchestrator.
2. Wybierz kolejno Topologia QuWAN > Połączenie trasowane VPN.
3. Kliknij opcję Utwórz nowe połączenie.
   Zostanie wyświetlone okno Utwórz nowe połączenie. 
4. Wprowadź nazwę połączenia złożoną z 1–64 znaków.
5. Jako tryb IPSec wybierz Tryb tunelu.
6. Wybierz hub do kierowania ruchem i zarządzania centralnego.
7. Wybierz port interfejsu WAN.
8. Podaj publiczny adres IP lub nazwę hosta zdalnego urządzenia bramy.
9. Kliknij opcję Testuj połączenie, aby sprawdzić połączenie z bramą zdalną.
10. Określ klucz wstępny.
    Uwaga

    Klucz wstępny na urządzeniu zdalnym musi być identyczny z kluczem skonfigurowanym na platformie QuWAN Orchestrator.
11. Opcjonalnie: Kliknij opcję Ustawienia zaawansowane, aby wyświetlić dodatkowe opcje konfiguracji połączeń trasowanych VPN.
12. Skonfiguruj ustawienia protokołu Key Exchange (IKE):
    1. Wybierz wersję protokołu IKE.
    2. Wybierz algorytm uwierzytelniania.
    3. Wybierz metodę szyfrowania.
    4. Wybierz grupę Diffie-Hellman (DH).
       Uwaga

       Grupy DH definiują siłę szyfrowania kryptograficznego w celu bezpiecznego ustanowienia klucza prywatnego podczas komunikacji wstępnej.
    5. Określ czas życia skojarzenia zabezpieczeń (SA) IKE, aby zmniejszyć zagrożenie kryptograficzne związane z ujawnieniem klucza.
    6. Opcjonalnie: Określ identyfikator lokalny (nazwę domeny) na potrzeby uwierzytelniania z lokacją zdalną.
    7. Identyfikator lokalny podaje się tylko wtedy, gdy w połączeniu trasowanym VPN jest skonfigurowana usługa DDNS.
13. Skonfiguruj ustawienia Encapsulating Security Payload (ESP):
    1. Wybierz algorytm uwierzytelniania.
    2. Wybierz metodę szyfrowania.
    3. Wybierz opcję Włącz doskonałe utajnianie z wyprzedzeniem (PFS), aby wygenerować nowy klucz DH.
    4. Wybierz grupę DH.
    5. Podaj czas życia skojarzenia ESP SA.
    6. Opcjonalnie: Wybierz opcję Włącz wykrywanie martwego elementu równorzędnego (DPD), aby wykrywać awarie urządzeń równorzędnych i reagować na nie.
    7. Podaj wartość limitu czasu DPD w sekundach.
14. Opcjonalnie: Zaznacz pole Włącz tryb NAT, aby zapewnić prawidłowe działanie połączenia VPN również wtedy, gdy w sieci znajdują się urządzenia NAT.
    1. Podaj adres IP tunelu lokalnego, aby ułatwić działanie przechodzenia NAT.
15. Opcjonalnie: Skonfiguruj ustawienia podsieci lokacji:
    1. W obszarze Podsieci lokacji kliknij opcję Dodaj podsieć.
    2. Określ podsieć lokacji.
    3. Wprowadź opis.
    4. Kliknij ikonę .
16. Kliknij opcję Utwórz.
    Platforma QuWAN Orchestrator utworzy połączenie trasowane VPN.
17. Znajdź połączenie trasowane VPN FortiGate® na stronie Topologia QuWAN / Połączenie trasowane VPN.
18. Kliknij ikonę , aby włączyć połączenie trasowane VPN.

Platforma QuWAN Orchestrator nawiąże połączenie VPN typu lokacja-lokacja między routerem QNAP a urządzeniem Fortinet® FortiGate®.