Настройка базового VPN Site-to-site между двумя FortiGate
Для создания VPN туннеля на межсетевом экране требуется:
- наличие настроенного внешнего интерфейса, через который будут подключаться устройства;
- внутренняя сеть;
- доступ к веб-интерфейсу FortiGate.
Подробнее читайте в инструкции по подключению.
Настройка Brunch
Для настройки Brunch:
- Перейдите в раздел VPN → IPSec Wizard. В мастере настройки предстоит пройти три этапа: VPN Setup, Authentication и Policy & Routing.
- На этапе VPN Setup установите Template Type в значение Site to Site.
- Установите Remote Device Type в значение FortiGate
- Установите NAT Configuration в значение No NAT between sites.
- Нажмите кнопку Next для продолжения настройки.
- На этапе Authentication установите Remote device в значение IP Address.
- В поле Remote IP Address укажите внешний адрес другой площадки.
- В Outgoing Interface выберите внешний интерфейс (в примере используется wan(port1)).
- Убедитесь, что в Authentication Method выбрано значение Pre-shared key.
- Укажите значение ключа в поле Pre-shared Key.
- Нажмите кнопку Next для продолжения настройки.
- На этапе Policy & Routing в Local Interface выберите внутренний интерфейс (в примере используется lan(port2)).
- Адрес локальной подсети автоматически добавится в поле Local subnets.
- Укажите в Remote Subnets адрес локальной подсети другой площадки.
- Установите Internet Access в значение None.
После создания VPN туннеля на экране появится сводная информация о созданных объектах.
Настройка HQ
Выполните настройки по аналогии с предыдущим разделом.
В результате:
- в списке всех туннелей IPsec VPN отобразится новый HQ to Brunch со статусом Up;
- в списке интерфейсов — новый интерфейс под внешним, через который проходит подключение.
Пользователь в любой из офисных сетей будет иметь возможность прозрачно подключаться к любому адресу в другой офисной сети.
Если нужно сгенерировать трафик для проверки соединения, отправьте эхо-запрос на внутренний интерфейс Branch FortiGate из внутренней сети HQ. Для этого установите в качестве источника внутренний интерфейс для операции ping в CLI:
HQ # exec ping-options source 192.168.200.2
HQ # exec ping 192.168.100.2
PING 192.168.100.2 (192.168.100.2): 56 data bytes
64 bytes from 192.168.100.2: icmp_seq=0 ttl=255 time=0.6 ms
64 bytes from 192.168.100.2: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=255 time=0.4 ms
64 bytes from 192.168.100.2: icmp_seq=3 ttl=255 time=0.4 ms
64 bytes from 192.168.100.2: icmp_seq=4 ttl=255 time=0.6 ms
--- 192.168.100.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.4/0.6 ms