Настройка базового VPN Site-to-site между двумя FortiGate

Для создания VPN туннеля на межсетевом экране требуется:

  • наличие настроенного внешнего интерфейса, через который будут подключаться устройства;
  • внутренняя сеть;
  • доступ к веб-интерфейсу FortiGate.

Подробнее читайте в инструкции по подключению.

Настройка Brunch

Для настройки Brunch:

  1. Перейдите в раздел VPN → IPSec Wizard. В мастере настройки предстоит пройти три этапа: VPN Setup, Authentication и Policy & Routing.
  2. На этапе VPN Setup установите Template Type в значение Site to Site.
  3. Установите Remote Device Type в значение FortiGate
  4. Установите NAT Configuration в значение No NAT between sites.
  5. Нажмите кнопку Next для продолжения настройки.
  6. На этапе Authentication установите Remote device в значение IP Address.
  7. В поле Remote IP Address укажите внешний адрес другой площадки.
  8. В Outgoing Interface выберите внешний интерфейс (в примере используется wan(port1)).
  9. Убедитесь, что в Authentication Method выбрано значение Pre-shared key.
  10. Укажите значение ключа в поле Pre-shared Key.
  11. Нажмите кнопку Next для продолжения настройки.
  12. На этапе Policy & Routing в Local Interface выберите внутренний интерфейс (в примере используется lan(port2)).
  13. Адрес локальной подсети автоматически добавится в поле Local subnets.
  14. Укажите в Remote Subnets адрес локальной подсети другой площадки.
  15. Установите Internet Access в значение None.

После создания VPN туннеля на экране появится сводная информация о созданных объектах.

Настройка HQ

Выполните настройки по аналогии с предыдущим разделом.

В результате:

  • в списке всех туннелей IPsec VPN отобразится новый HQ to Brunch со статусом Up;
  • в списке интерфейсов — новый интерфейс под внешним, через который проходит подключение.

Пользователь в любой из офисных сетей будет иметь возможность прозрачно подключаться к любому адресу в другой офисной сети.

Если нужно сгенерировать трафик для проверки соединения, отправьте эхо-запрос на внутренний интерфейс Branch FortiGate из внутренней сети HQ. Для этого установите в качестве источника внутренний интерфейс для операции ping в CLI:

HQ # exec ping-options source 192.168.200.2
 
HQ # exec ping 192.168.100.2
PING 192.168.100.2 (192.168.100.2): 56 data bytes
64 bytes from 192.168.100.2: icmp_seq=0 ttl=255 time=0.6 ms
64 bytes from 192.168.100.2: icmp_seq=1 ttl=255 time=0.4 ms
64 bytes from 192.168.100.2: icmp_seq=2 ttl=255 time=0.4 ms
64 bytes from 192.168.100.2: icmp_seq=3 ttl=255 time=0.4 ms
64 bytes from 192.168.100.2: icmp_seq=4 ttl=255 time=0.6 ms
 
--- 192.168.100.2 ping statistics ---
5 packets transmitted, 5 packets received, 0% packet loss
round-trip min/avg/max = 0.4/0.4/0.6 ms