Więcej miejsc do posłuchania:
Link do artykułu.
0:00 Wprowadzenie
0:40 Topologia
1:30 Konfiguracja Pierwszego Fortigate
2:26 Uwierzytelnianie
3:36 Routing i Polityka
5:30 Konfiguracja Urządzenia Drugiego
6:58 Konfiguracja Tuneli
9:21 Podsumowanie
Transkrypcja
W tym odcinku najbardziej klasyczna konfiguracja tunelu szyfrowanego IPSec Site to Site. Tym razem na urządzeniach Fortigate. Czyli klasyczna sytuacja, mamy jakiegoś Firewalla, router UTMa, mamy jakieś dwie różne lokalizacje w internecie i chcemy zestawić połączenie zabezpieczone, zaszyfrowane pomiędzy tymi urządzeniami tak żeby użytkownicy z obu stron mogli się komunikować w bezpieczny sposób i przez nas przygotowany.
Zacznijmy od tego co tutaj mamy. Po lewej stronie mamy jednego pracownika, jego stację końcową z końcówką 10. Sieć w której ten pracownik istnieje to jest 15.15.15.0 z maską 24 bity. Po prawej stronie mamy drugą stację końcową, drugiego pracownika z końcówką 8 i adresacja 20.20.20.0 z maską 24 bity. Mamy dwa Firewalle. Po lewej stronie oddział pierwszy po prawej stronie oddział drugi, dwa Fortigate i plan jest teraz taki, że pokażę jak skonfigurować Site to Site czyli punkt – punkt połączenie IPSec w oparciu o konfigurację z Wizarda na każdym z tych Firewalli.
Teraz pierwszy Fortigate: otwieramy zakładkę konfiguracji VPN IPSec Wizard. No i mamy tu kilka rzeczy, które trzeba wpisać. Pierwsza rzecz to jest nazwa tego połączenia. Tutaj mamy template poniżej. Jaki to jest typ: Site to Site, Hub-and-Spoke, Remote Access, Custom. Będziemy teraz konfigurować Site-to-Site. Kolejna rzecz, którą tutaj powinieneś zaznaczyć i odpowiedzieć na pytanie czy chcesz konfigurować NATa czyli translacje adresów. W tym przykładzie nie będzie translacji adresów czyli po prostu te dwie sieci będą się ze sobą bezpośrednio mogły skomunikować. No i jaki typ zdalnego urządzenia tutaj będziemy używać Fortigate, Fortigate. Next.
Kolejny krok to uwierzytelnianie. Tutaj będziemy wpisywać uprawnione adresy IP czyli to jest adres IP na WANie drugiego członka tego tunelu i jakim interfejsem wyjściowym będziemy się posługiwać. Kolejna rzecz w najprostszej
oczywiście konfiguracji będziemy wykorzystywać klucz współdzielony jako ten tryb uwierzytelniania się, że to jest właściwy peer czyli ten przeciwny członek tego tunelu do tego żeby zestawić połączenie szyfrowane. Tu jedną rzecz jeszcze bym chciał zaznaczyć przy okazji. Zauważ, że przy tym przykładzie ten Fortigate nie ma synchronizacji czasu. Jeżeli ustawiasz Site to Site w oparciu o współdzielony klucz to to nie jest problem, ten tunel się zestawi. Natomiast jeżeli byś chciał konfigurować i zestawiać tunele w oparciu o certyfikaty to zadbaj o to żeby synchronizacja czasu była prawidłowa.
Kolejny krok routing i polityka. Czyli wybieramy jaki lokalny interfejs będzie używany. Na tej podstawie określona jest sieć lokalna z której będzie ruch wychodził i podobnie trzeba ustawić jaka sieć będzie po drugiej stronie tego tunelu. Tutaj chodzi o to, że dla tuneli Site to Site, w ogóle dla tuneli IPSec jest sytuacja taka, że są mapy czy takie mapowanie tworzone dla tego tunelu, które mówi z jakiej podsieci do jakiej podsieci ruch ma przechodzić tym tunelem. Czyli na tej podstawie ten Firewall będzie wiedział jaką część pakietów, która przez niego przechodzi ma wysyłać do tego tunelu. To jest ta klasyfikacja. Klikamy Next. Mamy podsumowanie tego co skonfigurowaliśmy.
No i tworzymy konfigurację czyli Create. Na podstawie tych kilku kroków Wizarda skonfigurowaliśmy te parametry, które tutaj widzisz. Są jak widzisz, też Static route jest dodany w tym pod spodem jakby przechodząc te kroki stąd to co my wpisaliśmy – od jakiej do jakiej sieci będą klasyfikowane pakiety to również jest powiązane ze statycznym routingiem który jest wpisany. Jest tutaj pierwsza i druga faza automatycznie też skonfigurowana jeżeli nie wiesz to tu krótko powiem: faza pierwsza to jest negocjacja tych parametrów fazy drugiej w sposób szyfrowany a faza druga to już jest zestawienie połączenia, które szyfruje już dane te które docelowo chcemy przesyłać pomiędzy urządzeniami.
Mamy więc skonfigurowane pierwsze urządzenie teraz będziemy konfigurować oddział drugi czyli drugie urządzenie. Przechodzimy do Fortineta – Oddział Drugi czy Fortigate Oddział drugi. VPN IPSec Wizard i podobnie jak w poprzednim przykładzie czy poprzednim Firewallu konfigurujemy VPN setup czyli nazwa, uwierzytelnianie Jaki jest adres IP oddziału po przeciwnej stronie, Remote. Ten sam shared key. Następnie wybieramy politykę czyli jakie sieci do jakich sieci się będą łączyć. Tu jedną rzecz można jeszcze wspomnieć: my konfigurujemy tryb, że cały ruch który tutaj będzie przechodził będzie pchany do tego tunelu czyli tutaj mamy internet acces czyli czy będziemy udostępniać dostęp do internetu lokalnie czy zdalnie. Tutaj chodzi o to jakie będą tworzone naj podstawie trasy routingu. My w tym przykładzie w ogóle nie zastanawiamy
się i nie konfigurujemy dostępu do internetu z wykorzystaniem tego tunelu. Next i tworzymy konfigurację.
Możemy zobaczyć teraz konfiguracje tuneli. Jesteśmy cały czas na Fortigate, oddział 2. Widzimy, że tunel jest down jest inactive przez port WAN. Faza pierwsza została już zrealizowana jest na zielono, faza druga jeszcze nie więc cały tunel również jeszcze nie jest ustanowiony. Teraz podnosimy fazę drugą czyli uaktywniamy ją i cały tunel już jest zestawiony czyli jest możliwy do zestawienia. Tutaj oczywiście podobne rzeczy powinniśmy skonfigurować po obu stronach. Pytanie jest z której strony będziesz chciał nawiązywać ten tunel.
W tym przykładzie nie ma to żadnego znaczenia. Natomiast często jest tak, że jeżeli mamy jakąś centralną lokalizację do której spinamy te VPNy i jakieś zdalne lokalizacje to najczęściej inicjatorem są te zdalne do tej centrali. Teraz pierwszy klient. Spingujemy sieć, która jest po drugiej stronie z końcówką 10. Widać, że pakiety są utracone. Pięknie przeszedł. Teraz zobaczymy do 8. 8 to jest nasza stacja końcowa i widać, że ruch do klienta czyli z końcówką 8 przechodzi przez tunel i to jest ważne bo ta klasyfikacja, tej kryptomapy decyduje o tym do jakich będzie prowadziło to pingowanie czy to przekazywanie pakietów. Natomiast możemy oczywiście zezwolić na to co potrzebujemy. Możemy dodatkowo ograniczyć na Firewallu do czego chcemy żeby mieli ci klienci dostęp a do czego nie.
No to to jest klient pierwszy czy pracownik pierwszy a teraz od drugiej strony czyli pracownik drugi. Zobaczymy co możemy tu stąd zapingować czyli sieć po lewej stronie przeciwległa 15.15.15 z końcówką 10. No jak widać tutaj działa prawidłowa komunikacja pomiędzy klientami z dwóch stron.
W tym odcinku to tyle, jeżeli masz pytania jakieś do tego tematu to pisz oczywiście w komentarzu i widzimy się w kolejnym odcinku.