Erstellen Sie ein VPN mit IPSEC in Fortigate und verbinden Sie sich mit FortiClient

Druckfreundlich, PDF & Email

In diesem Verfahren wird erläutert, wie Sie ein VPN mithilfe von IPSec einrichten, um eine Verbindung mit einem beliebigen PC über das Internet mit dem LAN Ihrer Organisation herzustellen. Der gesamte Datenverkehr wird mit IPSec verschlüsselt. Um eine Verbindung zum VPN herzustellen, tun wir dies über die Software “FortiClient”. Zwei Teile werden erläutert:


– Firewall-Einstellungen – HIER
– Installation, Konfigurieren und Verbinden des VPN-Clients an einem Ort – HIER

VPN-Konfiguration auf Fortigate,

Brunnen, Zuallererst, um die Firewall zu konfigurieren, die VPNs akzeptiert, und diese sicher zu konfigurieren, Wir loggen uns ein, Gehen Sie im Menü links zu “VPN” > “IPSEC (IPSEC)” und wir müssen die erste Phase von “Phase 1 erstellen”.

Wir müssen alle folgenden Optionen konfigurieren:
“Name”: Wir setzen irgendjemanden darauf, In meinem Beispiel “VPNP1”.
“Entferntes Gateway”: Die Art der Verbindung, die wir von Anfang an haben werden, In meinem Fall ist es wichtig, von jedem PC aus eine Verbindung mit dem FortiClient herzustellen “DFÜ-Benutzer”.
“Lokale Schnittstelle”: An welche Schnittstelle gehen die Verbindungen?, Normales WAN1 oder WAN2, In meinem Fall “WAN1”.
“Modus”: “Hauptsächlich”
“Authentifizierungsmethode”: Die Option, die ich gewählt habe, besteht darin, ein gemeinsames Passwort für sie festzulegen, um sich über VPN zu verbinden, mit “Vorinstallierter Schlüssel”
“Vorinstallierter Schlüssel”: Ich gebe das Passwort ein, an dem ich interessiert bin.
“Peer-Optionen”: Wir weisen darauf hin, dass Sie alle akzeptieren > “Akzeptieren Sie eine beliebige Peer-ID”.
– Klicken Sie auf die Schaltfläche “Fortgeschritten…” Um weitere Verbindungsoptionen anzuzeigen.
Wir haben zwei sichere Verbindungsmöglichkeiten, Wir wählen die sichersten aus, Jetzt müssen die Clients nur noch kompatibel sein, In meinem Fall wird der erste sein “Verschlüsselung”: “3DES” und “Authentifizierung”: “SHA1” und wenn diese Verbindung nicht möglich ist, Der nächste wird sein: “Verschlüsselung”: “3DES” und “Authentifizierung”: “MD5”.
“DH-Gruppe”: Wir markieren nur “5”.
“Schlüsselleben”: Vorgabe 28800.
“XAuth”: Wir werden es aktivieren, aber als Server, “Als Server aktivieren”.
“Server-Typ”: BREI.
“Benutzergruppe”: Wir wählen die Gruppe von Benutzern aus, die sich mit diesem VPN verbinden können, Alle Benutzer, die wir verbinden möchten, sollten also in diese Gruppe eingeordnet werden (Und wenn es sie nicht gibt, Nun, wir erstellen es und setzen einige Testbenutzer ein).
“Nat Transversal”: Wir ermöglichen es “Ermöglichen”.
“Keepalive-Frequenz”: 10 Dies ist der Standardwert.
“Erkennung von toten Peers”: Auch aktiviert, “Ermöglichen”.

Sobald wir die Werte wie diese haben, akzeptieren wir, Wir geben “OKAY”.

Nicht schlecht, Jetzt müssen wir die andere Phase erstellen, Anklicken “Phase 2 erstellen”.

Wir geben die gleichen Informationen ein, die wir für die erste Phase eingegeben haben:
“Name”: Der Name, den wir wollen, In meinem Fall soll es so sein wie das vorherige, Ich habe es gesagt “VPNP2”.
“Phase 1”: Ich wähle das aus, das ich zuvor erstellt habe, “VPNP1”.
– Anklicken “Fortgeschritten…”
Wir setzen die gleiche Verschlüsselung wie in der ersten Phase ein.
Und wir ermöglichen PFS “Ermöglichen Sie Perfect Forward Secrecy” und die von “Aktivieren der Wiedergabeerkennung”.
“DH-Gruppe” Wir lassen ihn in Ruhe mit “5”
In “Schlüsselleben” Wir überlassen Ihnen die Zeit, die vorbestimmt ist.
“Autokey Keep Alive” Wir ermöglichen es.
“DHCP-IPsec” auch um einen DHCP-Server im Netzwerk zu verwenden.
Wir geben “OKAY”.

Nicht schlecht, Jetzt müssen wir eine Regel erstellen, um diese VPN-Verbindungen aus dem Internet zu unserem LAN zuzulassen. Um dies zu tun,, Wir werden “Firewall” > “Politik” > Und klicken Sie auf “Neu erstellen”.

In “Quelle” Wir müssen festlegen, wohin die VPN-Verschlüsselung gehen soll, das heißt, das Schicksal (¿?), In meinem Beispiel wäre es “intern”.
“Name der Adresse: Alle”
In “Bestimmungsort” Woher kommt die Verbindung?, In meinem Beispiel kommt alles über die “wan1”.
“Name der Adresse: Alle”
Wir wollen, dass es immer einsatzbereit ist: “Zeitplan: Immer”.
Dass alle Protokolle funktionieren, um den gesamten Datenverkehr durch das VPN zu leiten, Also in “Dienst” Anzeigen “JEGLICHE”.
Und der Unterschied besteht darin, dass “Aktion” Wir müssen “IPSEC (IPSEC)” Also habe ich einen sicheren Tunnel erstellt.
In “VPN-Tunnel” Wir geben an, was unsere erste Phase ist, In meinem Fall war es “VPNP1” und wir markierten die beiden Häkchen von “Eingehenden Datenverkehr zulassen” und “Ausgehenden Datenverkehr zulassen” so dass sowohl eingehender als auch ausgehender Datenverkehr über das VPN abgewickelt wird, Knochen, dass derjenige, der eine Verbindung herstellt, auf Netzwerkressourcen zugreifen kann und darauf zugreifen kann.
Wir geben “OKAY”.

Wir überprüfen, ob dies in den Regeln von “intern-> wan1” und in “Aktion” Setzt “VERSCHLÜSSELN”.

Nicht schlecht, Jetzt müssen Sie nur noch den DHCP-Dienst konfigurieren (Dies ist optional, ob wir möchten, dass sich jemand mit uns verbindet, um ihm eine IP-Adresse zuzuweisen oder nicht, sonst, Wir können es über den VPN-Client konfigurieren). Wenn wir es konfigurieren möchten, Sein, seit “System” > “DHCP (Englisch)” > In “wan1” > “Diener” und wir geben die .

Okay, Erstellen Sie einen DHCP-Server für die Schnittstelle “wan1” aber nur für VPN-Verbindungen (IPSEC (IPSEC)):
“Name” Wir geben Ihnen einen Namen, Zum Beispiel: ServerDHCPvpn
Natürlich muss es aktiviert sein, Überprüfen Sie also die “Ermöglichen”.
In “Art” Wir machen es “IPSEC (IPSEC)”.
In “IP-Bereich” Wir sagen Ihnen, welcher IP-Bereich den Benutzern zugewiesen wird, wenn sie eine Verbindung herstellen. Wir setzen die Netzmaske auf sie “Netzwerk-Maske” und ein Gateway (wahlfrei), in “Domäne” Es ist einfach die Domäne, die sich im Netzwerk befinden soll.
In “Leasing-Zeit” ist die Zeit, zu der diese IP-Zuweisung gültig ist, und wenn sie abläuft, wenn sie nicht verfügbar ist und eine andere IP-Anfrage eingeht, wird sie dieser neuen zugewiesen..
“DNS-Server 1”, sind die Server, die Ihre Namen auflösen, Wir stellen DNS-Server in unser LAN.
Wir geben “OKAY”.

Wir überprüfen, ob unser DHCP-Server bereits vorhanden und aktiviert ist. Nun, die gesamte Konfiguration in der Firewall ist bereits abgeschlossen, Jetzt haben wir den Kundenteil.

Installation, Konfigurieren und Verbinden des VPN-Clients auf einer Workstation mit FortiClient,

In diesem Teil wird erläutert, wie Sie den VPN-Client FORTICLIENT installieren und für die Verbindung mit dem VPN konfigurieren. Das erste, was Sie tun müssen, ist, es von der Website herunterzuladen HTTP (Englisch)://www.fortinet.com oder HIER.

Okay, Das Wichtigste zuerst, Es ist eine einfache Installation, ein Assistent. Anklicken “Nächster”,

Ja, Wir akzeptieren die Lizenz, Wir geben “Nächster”,

Auge!! Wir werden keine vollständige Installation durchführen, da dadurch sogar ein Antivirenprogramm installiert wird, und wenn wir zwei Antivirenprogramme auf demselben PC haben, wissen wir, was passiert, PC-Abstürze. Also maßgeschneiderte Installation, “Gewohnheit” und “Nächster”,

Wir wählen nur aus “IPSec-VPN” um sich über VPN zu verbinden, würde es ausreichen, Wir geben “Nächster”,

Und “Installieren” So starten Sie die Installation…

Okay, ein paar Sekunden und wir haben den VPN-Client bereits installiert, “Beenden”,

Damit der VPN-Client gut funktioniert, Wir müssen neu starten, ist obligatorisch, Wenn es also neu gestartet werden kann.

Nach dem Neustart des PCs, wir können jetzt den FortiClient öffnen, davon, Klicken Sie auf das Symbol “Fortgeschritten >>>” > “Hinzufügen…” So erstellen Sie eine VPN-Verbindung.

Wir geben der Verbindung einen Namen, und wir können Ihnen sagen, ob die IP-Konfiguration automatisch oder manuell erfolgt, Wenn wir bereits einen DHCP-Server in der Firewall konfiguriert haben, können wir “Automatisch”, sonst, “Manuell” und setzen Sie eine Netzwerkkonfiguration ein, um mit der Schnittstelle zu arbeiten “intern”. In “Authentifizierungsmethode” Wählte “Vorinstallierter Schlüssel”, Dies ist dasjenige, das wir früher in der Phase-1-Konfiguration in die Firewall eingefügt haben. Wir “Fortgeschritten…”

Wir wählen XAuth “eXtended Authentifizierung” und in Remote-Netzwerk setzen wir Sie ein, welches das Remote-Netzwerk ist, mit dem Sie eine Verbindung herstellen werden (Das Sortiment). Wir geben “OKAY”.

Damit sind Sie fertig, Jetzt müssen Sie nur noch eine Verbindung herstellen, Klicken Sie dazu auf das Symbol “Verbinden” und warten Sie, bis die Verbindung hergestellt wird…

Wir werden nach einem Benutzernamen und einem Passwort gefragt, um eine Verbindung herzustellen, da wir zuvor bei der Konfiguration von phase1 festgelegt haben, dass nur die Benutzer der Gruppe eine Verbindung zu diesem VPN herstellen können “GrupoVPNssl”, Geben Sie den Benutzernamen und das Passwort eines Benutzers ein, der zu dieser Gruppe gehört, und klicken Sie auf “OKAY”, Wir können Ihnen sagen, dass Sie sich das Passwort merken sollen, indem Sie das “Passwort merken”.

Wir sehen, dass in der Symbolleiste das Forticlient VPN-Netzwerksymbol eine Verbindung herstellt…

Und um zu überprüfen, ob wir im FortiClient verbunden sind, wird die Datei “Status” Das heißt “Oben”, und wir werden in der Lage sein, sicher über das VPN mit den notwendigen Ressourcen zu arbeiten.


Empfohlene Beiträge

VPN mit Citrix NetScaler III - Authentifizierung mit Zertifikaten
Lesen
FortiGate-Metriken mit Prometheus und Grafana
Lesen
VPN mit Citrix NetScaler IV - Immer eingeschaltet
Lesen
VPN mit Citrix NetScaler II - Anfordern des Zugriffs auf Zertifikate
Lesen

Verfasser

bis Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Zögern Sie nicht, mich zu kontaktieren, Ich werde versuchen, dir zu helfen, wann immer ich kann, Teilen ist Leben ;) . Genießen Sie Dokumente!!!

Erstellen eines AntiVirus-Filters, AntiSpam, Inhaltsfilterwörter/Websites, Blockieren von Instant Messaging oder P2P-Programmen mithilfe eines Schutzprofils in Fortigate

21 Oktober 2008

Erstellen Sie ein VPN zwischen zwei Fortigates mit IPSEC

21 Oktober 2008