Como posso configurar uma VPN site-to-site entre os dispositivos QuWAN e Fortinet®?

Configure as seguintes definições no seu dispositivo FortiGate® para estabelecer um túnel VPN IPSec site-to-site com o router ligado à QuWAN: Defina o método de autenticação, os algoritmos de encriptação e as definições de troca de chaves, para garantir uma ligação segura. Ative opções como NAT traversal e dead peer detection (detecção de par inativo) para manter a estabilidade do túnel e garantir a compatibilidade com a infraestrutura VPN da QuWAN. As definições abaixo baseiam-se na Ajuda Online FortiProxy 1.1.0 para um dispositivo FortiGate® 300C.

1. Inicie sessão na interface de utilizador do FortiGate®.
2. Aceda a VPN > IPSec > Tunnels (Túneis).
3. Clique em Create New (Criar Novo).
4. Configure as definições VPN IPSec.
   

   Definições Gerais

   Definição	Ação do utilizador
   Name (Nome)	Introduza um nome exclusivo para o túnel VPN.
   Comments (Comentários) (Opcional)	Adicione uma descrição para o túnel.
   Enable IPsec Interface Mode (Ativar o modo de interface IPsec)	Selecione para ativar o IPsec para o túnel VPN.

   Definições de Rede

   Definição	Ação do utilizador
   IP Version (Versão do IP)	Selecione IPv4 como versão de protocolo.
   Remote Gateway (Gateway remota)	Escolha Static IP Address (Endereço IP estático) se o par remoto tiver um IP fixo.
   IP Address (Endereço IP)	Introduza o endereço IP do par remoto.
   Interface	Selecione a interface de rede para o túnel VPN.
   Mode Config (Modo Config) (Opcional)	Ative para atribuir endereços IP a clientes VPN.
   NAT Traversal	Ative o NAT Traversal se existir um dispositivo NAT entre os pares.
   Keepalive Frequency (Frequência de Keepalive)	Defina a frequência com que são enviados pacotes keepalive.
   Dead Peer Detection (Detecção de par inativo)	Ative a detecção de par inativo para detectar e remover os pares VPN sem resposta.

   

   Definições de autenticação

   Definição	Ação do utilizador
   Method (Método)	Selecione Pre-shared Key (Chave pré-partilhada) para autenticação.
   Pre-shared Key (Chave pré-partilhada)	Copie a chave pré-partilhada da janela de configuração da ligação VPN baseada em rotas no QuWAN Orchestrator e cole-a no campo da chave pré-partilhada.
   IKE Version (Versão de IKE)	Selecione 2 como versão de IKE.
   Mode (Modo)	Selecione Main (ID Protection) [Principal (Proteção de ID)] para um tratamento seguro da identidade.

   

   Definições da Proposta da Fase 1

   Nota

   Certifique-se de que ambos os dispositivos têm definições de encriptação e autenticação correspondentes.

   Definição	Ação do utilizador
   Encryption (Encriptação)	Selecione o algoritmo de encriptação AES256.
   Authentication (Autenticação)	Selecione SHA256 para autenticação.
   Diffie-Hellman Groups (Grupos Diffie-Hellman)	Selecione grupos de troca de chaves, como 2, 5, 14, 15, 16, 19, 20 ou 21.
   Key Lifetime (seconds) (Tempo de vida da chave (segundos))	Defina o período de tempo durante o qual a chave de encriptação permanece válida (predefinição: 86.400 segundos).
   Local ID (ID local)	Introduza um ID local, se necessário. Se estiver a utilizar um serviço de DNS dinâmico (DDNS) para uma ligação VPN IPsec baseada em rotas, deve definir o ID local no formato FQDN.

   

   Definições de XAUTH

   Definição	Ação do utilizador
   Type (Tipo)	Selecione Disabled (desativado) exceto se for necessária uma autenticação alargada.

   Seletores da Fase 2

   Definição	Ação do utilizador
   Local Address (Endereço local)	Defina a rede local (predefinição: 0.0.0.0/0).
   Remote Address (Endereço remoto)	Defina a rede remota (predefinição: 0.0.0.0/0).

   

   Definições da Fase 2

   Definição	Ação do utilizador
   Name (Nome)	Mantenha o mesmo nome da Fase 1 ou modifique-o, se necessário.
   Comments (Comentários) (Opcional)	Adicione uma descrição
   Local Address (Endereço local)	Selecione Subnet (Sub-rede) e configure o intervalo da rede local.
   Remote Address (Endereço remoto)	Selecione Subnet (Sub-rede) e configure o intervalo da rede remota.

5. Clique em OK.

O dispositivo FortiGate® cria o túnel VPN IPSec.

Para ligar um router ligado à QuWAN a um dispositivo FortiGate®, deve configurar uma VPN baseada em rotas. Este método estabelece um túnel encriptado que direciona o tráfego entre as duas redes com base em políticas de encaminhamento. Ao contrário das VPNs baseadas em políticas, as VPNs baseadas em rotas suportam encaminhamento dinâmico e múltiplas sub-redes, garantindo controlo preciso do tráfego e troca eficiente de dados entre os locais ligados.

Antes de configurar a ligação VPN baseada em rotas no QuWAN Orchestrator, certifique-se de que o dispositivo do par está devidamente configurado. Isto refere-se ao dispositivo na outra extremidade do túnel VPN, como outro router ou firewall.

1. Inicie sessão no QuWAN Orchestrator.
2. Go to QuWAN Topology (Topologia do QuWAN) > Route-Based VPN (VPN baseada em rotas).
3. Clique em Create New Connection (Criar Nova Ligação).
   É exibida a janela Create New Connection (Criar Nova Ligação) .
4. Especifique um nome de ligação entre 1 e 64 caracteres.
5. Selecione Tunnel Mode (Modo de Túnel) como modo IPSec.
6. Selecione um hub para encaminhar o tráfego e a gestão central.
7. Selecione a porta de interface da WAN.
8. Especifique o endereço IP público ou nome do anfitrião do dispositivo gateway remoto.
9. Clique em Test Connection (Testar Ligação) para testar a ligação da gateway remota.
10. Especifique uma chave pré-partilhada.
    Nota

    Certifique-se de que a chave pré-partilhada no dispositivo remoto é idêntica à configurada no QuWAN Orchestrator.
11. Opcional: Clique em Advanced Settings (Definições avançadas) para revelar opções de configuração adicionais para ligações VPN baseadas em rotas.
12. Configure as definições de Internet Key Exchange (IKE):
    1. Selecione a versão de IKE.
    2. Selecione o algoritmo de autenticação.
    3. Selecione um método de encriptação adequado.
    4. Selecione um grupo Diffie-Hellman (DH).
       Nota

       Os grupos DH definem a força criptográfica para estabelecer de forma segura uma chave privada durante a comunicação inicial.
    5. Defina a duração da IKE Security Association (SA) para reduzir os riscos criptográficos associados à exposição de chaves.
    6. Opcional: Especifique o ID local (nome de domínio) para a autenticação do local remoto.
    7. Indique o ID local apenas se o DDNS estiver configurado para a ligação VPN baseada em rotas.
13. Configure as definições de Encapsulating Security Payload (ESP):
    1. Selecione o algoritmo de autenticação.
    2. Selecione um método de encriptação adequado.
    3. Selecione Ativar Perfect Forward Secrecy (PFS) para gerar uma nova chave DH.
    4. Selecione um grupo DH.
    5. Defina a duração de ESP da SA.
    6. Opcional: Selecione Ativar Dead Peer Detection (DPD) para identificar e responder a falhas de dispositivos de pares.
    7. Especifique o valor do tempo limite DPD em segundos.
14. Opcional: Selecione Ativar o modo NAT  para garantir que a ligação VPN funciona corretamente mesmo quando estão presentes dispositivos NAT na rede.
    1. Especifique o endereço IP do túnel local para facilitar NAT Traversal.
15. Opcional: Configure as definições de sub-rede do local:
    1. Em Site Subnets (Sub-redes do local), clique em Add Subnet (Adicionar Sub-rede).
    2. Especifique uma sub-rede do local.
    3. Especifique uma descrição.
    4. Clique em .
16. Clique em Create (Criar).
    O QuWAN Orchestrator cria a ligação da VPN baseada em rotas.
17. Identifique a ligação VPN baseada em rotas do FortiGate® na página Topologia do QuWAN/VPN baseada em rotas.
18. Clique em   para ativar a ligação VPN baseada em rotas.

O QuWAN Orchestrator estabelece a ligação VPN site-to-site entre o router QNAP e o dispositivo Fortinet® FortiGate®.