FortiGate와 StrongSwan으로 Site-Site IPsec VPN을 확장
7341 단어 VPNstrongswanfortigate
전제 조건
환경
네트워크 문제
FortiGate 설정
VPN 터널 만들기
"인터페이스"는 일반적으로 "wan1"이라고 생각되지만 환경에 따라 맞추십시오.
지금까지 VPN 터널 생성이 완료되었습니다.
인터페이스 설정
3. IP에 10.1.1.1을 입력하여 필요에 따라 PING이 통과하도록 합니다.
지금까지 인터페이스 설정이 완료되었습니다.
라우팅 설정
4. 확인을 클릭하여 경로를 추가합니다.
정책 설정
일반 방화벽 정책을 추가합니다.
데비안 설정
strongSwan 설치
# apt install strongswan
/etc/ipsec.confconn %default
authby=secret
type=tunnel
auto=route
compress=no
conn FortiGate
left=AAA.AAA.AAA.AAA
leftsubnet=0.0.0.0/0
right=BBB.BBB.BBB.BBB
rightsubnet=0.0.0.0/0
leftfirewall=no
leftupdown=/etc/strongswan.d/updown.sh
keyexchange=ikev1
ike=aes256-sha256-ecp521
esp=aes256-sha256-ecp521
mark=42
# mark=42の42が後で出てくる、vtiのKeyと一致する必要あり
/etc/ipsec.secretsBBB.BBB.BBB.BBB AAA.AAA.AAA.AAA : PSK "SuperSecretPSK"
여기까지의 설정이라면, 왜인지 Debian측으로부터 FortiGate측에의 패킷이, 터널 디바이스가 아니고,
eth0 등에서 빠져 버리기 때문에 다음 설정이 필요합니다.
/etc/strongswan.d/charon.conf# 下記のパラメタのみ書き換え
install_routes = no
터널이 닿을 때 호출되는 스크립트
/etc/strongswan.d/updown.sh!/bin/bash
PLUTO_MARK_OUT_ARR=(${PLUTO_MARK_OUT//// })
PLUTO_MARK_IN_ARR=(${PLUTO_MARK_IN//// })
echo ${PLUTO_VERB}
echo ${PLUTO_CONNECTION}
VTI_INTERFACE="vti"${PLUTO_MARK_IN_ARR}
case "${PLUTO_VERB}" in
up-client)
ip tunnel add ${VTI_INTERFACE} mode vti local ${PLUTO_ME} remote ${PLUTO_PEER} key 42
ip link set ${VTI_INTERFACE} up
ip link set ${VTI_INTERFACE} up mtu 1350
ip addr add 10.1.1.2/32 dev ${VTI_INTERFACE}
ip route add 10.1.1.1/32 dev ${VTI_INTERFACE}
ip route add 192.168.0.0/16 dev ${VTI_INTERFACE}
;;
down-client)
$IP link del ${VTI_INTERFACE}
;;
esac
strongSwan을 시작합니다.
# systemctl start strongswan
/etc/sysctl.conf# 次の内容を追記
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
sysctl 설정 반영
sysctl -p
상태 확인
# ipsec status
Routed Connections:
FortiGate{1}: ROUTED, TUNNEL, reqid 1
FortiGate{1}: 0.0.0.0/0 === 0.0.0.0/0
Security Associations (1 up, 0 connecting):
FortiGate[1]: ESTABLISHED 20 minutes ago, AAA.AAA.AAA.AAA[AAA.AAA.AAA.AAA]...BBB.BBB.BBB.BBB[BBB.BBB.BBB.BBB]
FortiGate{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c0bad4f9_i baf54487_o
FortiGate{2}: 0.0.0.0/0 === 0.0.0.0/0
참고 페이지
# apt install strongswan
conn %default
authby=secret
type=tunnel
auto=route
compress=no
conn FortiGate
left=AAA.AAA.AAA.AAA
leftsubnet=0.0.0.0/0
right=BBB.BBB.BBB.BBB
rightsubnet=0.0.0.0/0
leftfirewall=no
leftupdown=/etc/strongswan.d/updown.sh
keyexchange=ikev1
ike=aes256-sha256-ecp521
esp=aes256-sha256-ecp521
mark=42
# mark=42の42が後で出てくる、vtiのKeyと一致する必要あり
BBB.BBB.BBB.BBB AAA.AAA.AAA.AAA : PSK "SuperSecretPSK"
# 下記のパラメタのみ書き換え
install_routes = no
!/bin/bash
PLUTO_MARK_OUT_ARR=(${PLUTO_MARK_OUT//// })
PLUTO_MARK_IN_ARR=(${PLUTO_MARK_IN//// })
echo ${PLUTO_VERB}
echo ${PLUTO_CONNECTION}
VTI_INTERFACE="vti"${PLUTO_MARK_IN_ARR}
case "${PLUTO_VERB}" in
up-client)
ip tunnel add ${VTI_INTERFACE} mode vti local ${PLUTO_ME} remote ${PLUTO_PEER} key 42
ip link set ${VTI_INTERFACE} up
ip link set ${VTI_INTERFACE} up mtu 1350
ip addr add 10.1.1.2/32 dev ${VTI_INTERFACE}
ip route add 10.1.1.1/32 dev ${VTI_INTERFACE}
ip route add 192.168.0.0/16 dev ${VTI_INTERFACE}
;;
down-client)
$IP link del ${VTI_INTERFACE}
;;
esac
# systemctl start strongswan
# 次の内容を追記
net.ipv4.ip_forward=1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
sysctl -p
# ipsec status
Routed Connections:
FortiGate{1}: ROUTED, TUNNEL, reqid 1
FortiGate{1}: 0.0.0.0/0 === 0.0.0.0/0
Security Associations (1 up, 0 connecting):
FortiGate[1]: ESTABLISHED 20 minutes ago, AAA.AAA.AAA.AAA[AAA.AAA.AAA.AAA]...BBB.BBB.BBB.BBB[BBB.BBB.BBB.BBB]
FortiGate{2}: INSTALLED, TUNNEL, reqid 1, ESP SPIs: c0bad4f9_i baf54487_o
FortiGate{2}: 0.0.0.0/0 === 0.0.0.0/0
Reference
이 문제에 관하여(FortiGate와 StrongSwan으로 Site-Site IPsec VPN을 확장), 우리는 이곳에서 더 많은 자료를 발견하고 링크를 클릭하여 보았다 https://qiita.com/tatsuya_info/items/4632f086a789732dcb6f텍스트를 자유롭게 공유하거나 복사할 수 있습니다.하지만 이 문서의 URL은 참조 URL로 남겨 두십시오.
우수한 개발자 콘텐츠 발견에 전념 (Collection and Share based on the CC Protocol.)