Hur konfigurerar jag plats-till-plats-VPN mellan en QuWAN-enhet och en Fortinet®-enhet?

Konfigurera följande inställningar på din FortiGate®-enhet för att upprätta en IPSec-tunnel med plats-till-plats-VPN med din QuWAN-anslutna router. Definiera autentiseringsmetod, krypteringsalgoritmer och inställningar för nyckelutbyte för att säkerställa en säker anslutning. Aktivera alternativ som NAT-traversering och identifiering av icke aktiv peer, för att upprätthålla tunnelstabilitet och kompatibilitet med QuWAN:s VPN-ramverk. Nedanstående inställningar baseras på Onlinehjälpen för FortiProxy 1.1.0 för en 300C-enhet av märket FortiGate®.

1. Logga in på FortiGate®-användargränssnittet.
2. Gå till VPN > IPSec > Tunnels (tunnlar).
3. Klicka på Create New (Skapa ny).
4. Konfigurera IPSec-VPN-inställningarna.
   

   Allmänna inställningar

   Inställning	Användaråtgärd
   Name (Namn)	Ge VPN-tunneln ett unikt namn.
   Comments (Kommentarer) (valfritt)	Lägg till en beskrivning av tunneln.
   Enable IPSec Interface Mode (Aktivera IPSec-gränssnittsläge)	Välj för att aktivera IPSec för VPN-tunneln.

   Nätverksinställningar

   Inställning	Användaråtgärd
   IP Version (IP-version)	Välj IPv4 som protokollversion.
   Remote Gateway (Fjärrgateway)	Välj Static IP Address (Statisk IP-adress) om den fjärranslutna peer-enheten har en fast IP-adress.
   IP Address (IP-adress)	Ange den fjärranslutna enhetens IP-adress.
   Interface (Gränssnitt)	Välj nätverksgränssnittet för VPN-tunneln.
   Mode Config (Läget konfigurera) (valfritt)	Aktivera för att tilldela IP-adresser till VPN-klienter.
   NAT Traversal (NAT-traversering)	Aktivera NAT-traversal om det finns en NAT-enhet mellan peer-enheterna.
   Keepalive Frequency (Keepalive-frekvens)	Ställ in hur ofta keepalive-paket ska skickas.
   Dead Peer Detection (Identifiering av icke aktiv peer)	Aktivera identifiering av icke aktiv peer för att upptäcka och ta bort VPN-peer-enheter som inte svarar.

   

   Autentiseringsinställningar

   Inställning	Användaråtgärd
   Method (Metod)	Välj Pre-Shared Key (I förväg delad nyckel) för autentisering.
   Pre-shared Key (I förväg delad nyckel)	Kopiera den i förväg delade nyckeln från konfigurationsfönstret för vägbaserad VPN-anslutning i QuWAN Orchestrator och klistra in den i fältet för i förväg delade nycklar.
   IKE Version (IKE-version)	Välj 2 som IKE-version.
   Mode (Läge)	Välj Main (ID Protection) (Huvudsaklig (ID-skydd)) för säker identitetshantering.

   

   Fas 1, föreslagna inställningar

   Obs!

   Kontrollera att båda enheterna har samma inställningar för kryptering och autentisering.

   Inställning	Användaråtgärd
   Encryption (Kryptering)	Välj krypteringsalgoritm AES256.
   Authentication (Autentisering)	Välj SHA256 för autentisering.
   Diffie-Hellman Groups (Diffie-Hellman-grupper)	Välj viktiga nyckelutbytesgrupper, exempelvis 2, 5, 14, 15, 16, 19, 20 eller 21.
   Key Lifetime (seconds) (Nyckelns livslängd (sekunder))	Ställ in hur länge krypteringsnyckeln ska vara giltig (standard: 86400 sekunder).
   Local ID (Lokalt ID)	Ange vid behov ett lokalt ID. Om du använder en DDNS-tjänst (Dynamic DNS) för en vägbaserad IPSec-VPN-anslutning måste du ange lokalt ID i FQDN-format.

   

   XAUTH-inställningar

   Inställning	Användaråtgärd
   Type (Typ)	Välj Disabled (Capital Inaktiverad) om utökad autentisering inte behövs.

   Fas 2-väljare

   Inställning	Användaråtgärd
   Local Address (Lokal adress)	Definiera det lokala nätverket (standard: 0.0.0.0/0).
   Remote Address (Fjärradress)	Definiera fjärrnätverket (standard: 0.0.0.0/0).

   

   Fas 2-inställningar

   Inställning	Användaråtgärd
   Name (Namn)	Behåll samma namn som i fas 1 eller ändra det vid behov.
   Comments (Kommentarer)  (valfritt)	Lägg till en beskrivning.
   Local Address (Lokal adress)	Välj Subnet (Subnät) och konfigurera det lokala nätverksintervallet.
   Remote Address (Fjärradress)	Välj Subnet (Subnät) och konfigurera fjärrnätverkets räckvidd.

5. Klicka på OK.

FortiGate®-enheten skapar IPSec-VPN-tunneln.

För att ansluta en QuWAN-ansluten router till en FortiGate®-enhet måste du konfigurera en vägbaserad VPN-anslutning. Den här metoden upprättar en krypterad tunnel som dirigerar trafiken mellan de två nätverken, baserat på vägfördelningsprinciper. Till skillnad från principbaserade VPN har vägbaserade VPN dynamisk vägfördelning och flera subnät. Det säkerställer exakt trafikkontroll och effektivt datautbyte mellan de anslutna platserna.

Innan en vägbaserad VPN-anslutning i QuWAN Orchestrator konfigureras behöver du säkerställa att konfigurationen är korrekt på peer-enheten. Det avser enheten i den andra änden av VPN-tunneln, exempelvis en annan router eller brandvägg.

1. Logga in på QuWAN Orchestrator.
2. Gå till QuWAN-topologi > Vägbaserad VPN.
3. Klicka på Skapa ny anslutning.
   Fönstret Skapa ny anslutning  visas.
4. Ge anslutningen ett namn som innehåller mellan 1 och 64 tecken.
5. Välj Tunnelläge som IPSec-läge.
6. Välj en hubb för trafikledning och central hantering.
7. Välj WAN-gränssnittsporten.
8. Ange den publika IP-adressen eller värdnamnet för den fjärranslutna gatewayen.
9. Klicka på Testa anslutning för att testa anslutningen till fjärrgatewayen.
10. Ange en i förväg delad nyckel.
    Obs!

    Kontrollera att den i förväg delade nyckeln på fjärrenheten är identisk med den som konfigurerats i QuWAN Orchestrator.
11. Valfritt: Klicka på Avancerade inställningar för att visa ytterligare alternativ för konfiguration av vägbaserade VPN-anslutningar.
12. Konfigurera IKE-inställningar (Internet Key Exchange):
    1. Välj IKE-version.
    2. Välj autentiseringsalgoritmen.
    3. Välj en lämplig krypteringsmetod.
    4. Välj en Diffie-Hellman-grupp (DH).
       Obs!

       DH-grupper definierar kryptografisk styrka för att på ett säkert sätt etablera en privat nyckel under den initiala kommunikationen.
    5. Definiera längden på IKE-säkerhetsassociationen (SA, Security Association) för att minska de kryptografiska risker som är förknippade med nyckelexponering.
    6. Valfritt: Ange lokalt ID (domännamnet) för fjärrplatsautentisering.
    7. Tillhandahåll lokalt ID endast om DDNS är konfigurerat för den vägbaserade VPN-anslutningen.
13. Konfigurera inställningarna för inkapsling av säkerhetsnyttolast (ESP, Encapsulating Security Payload):
    1. Välj autentiseringsalgoritmen.
    2. Välj en lämplig krypteringsmetod.
    3. Välj Aktivera perfekt sekretess vid vidarebefordran (PFS, Perfect Forward Secrecy) för att skapa en ny DH-nyckel.
    4. Välj en DH-grupp.
    5. Definiera varaktigheten för ESP-SA.
    6. Valfritt: Välj Aktivera identifiering av icke aktiv peer (DPD, Dead Peer Detection) för att identifiera och svara på avbruten anslutning till peer-enhet.
    7. Ange DPD-timeoutvärdet i sekunder.
14. Valfritt: Välj Aktivera NAT-läge för att säkerställa att VPN-anslutningen fungerar ordentligt även när NAT-enheterna finns i nätverket.
    1. Ange den lokala tunnelns IP-adress för att underlätta NAT-traversering.
15. Valfritt: Konfigurera platsens subnätsinställningar:
    1. Under Platsens subnät, klicka på Lägg till subnät.
    2. Ange ett undernät för platsen.
    3. Ange en beskrivning.
    4. Klicka på .
16. Klicka på Skapa.
    QuWAN Orchestrator skapar den vägbaserade VPN-anslutningen.
17. Identifiera den vägbaserade FortiGate®-VPN-anslutningen på sidan QuWAN-topologi/vägbaserad VPN.
18. Klicka på  för att aktivera den vägbaserade VPN-anslutningen.

QuWAN Orchestrator upprättar plats-till-plats-VPN-anslutningen mellan QNAP-routern och Fortinet® FortiGate®-enheten.