Routing Based와 Policy Based

IPSec의 세계에는 2 종류의 구현이 있어, 1개는 ACL/Policy로 트래픽을 선택해, 선택한 트래픽마다 IPsecTunnel을 구성하는 Policy Based, 다른 하나는 아무렇지도 않게 통과하는 IPsec Tunnel을 구성해 어떠한 터널을 사용할지 혹은 사용하지 않을지를 IP Routing의 Nexthop에서 선택하는 타입.
Alibaba Cloud의 VPN-GW는 정책 기반 IPSec으로 보입니다. 라는 것으로, 이번은 Routing Based인 기기를 접속하는 패턴을 검증.

0.0.0.0/0 <---> 10.128.1.0/24를 암호화하는 터널 생성

Alibaba Cloud는 Policy를 따릅니다.

Fortigate는 Static Route에 필요한 CIDR (이 경우 172.24.0.0/16)의 Next Hop을 터널로 지정 (Routing based)

연결

Alibaba Cloud 측 준비

VPN 게이트웨이 준비

Alibaba Cloud 측의 IPsec 종단점 생성.
1시간 10엔 정도. 구입하면 IPSec용 글로벌 IP가 할당된다.

고객 게이트웨이 준비

이쪽은 Fortigate측의 주소. 이번과 같이 다른 기기에서 NAT되어 있는 경우는 NAT 외부에서 사용되는 글로벌 주소를 설정.

VPN Connection 준비

방금 만든 VPN Gateway 및 Customer Gateway 선택

로컬 네트워크는 0.0.0.0/0으로 한다. AlibabaCloud측으로서 모든 목적지를 받아들이는 설정이 되고, Fortigate는 Routing의 구조로 여기를 통과하는 트래픽을 선택한다.

원격 네트워크는 fortigate 측의 개인 주소 공간을 지정합니다. 0.0.0.0/0로 하지 말라.

고급 설정 필요

사전 공유 키 "alitest"

RemoteID는 이번과 같이 NAT의 뒤에 Fortigate가 있는 경우는 NAT의 뒷면의 Fortigate의 프라이빗 IP가 되므로 재작성한다.

DH그룹은 Fortigate측에 맞추어 Group5로 변경. Alibaba Cloud 측의 기본값 2가 기본적으로 Fortigate 측으로 설정되어 있지 않습니다.

다른 것은 디폴트치로.

Fortigate 측 준비

Address Object 작성

fortigate 측의 LAN 주소 정의

IPSec Tunnel 생성

이쪽도 Alibaba Cloud측에 맞추어 Remote Address는 0.0.0.0/0, Local Address는 실제의 Subnet 주소를 지정한다. Preshared key는 여기에서는 Alibaba Cloud측에 맞추어 "alitest"를 설정한다.


MEMO
Local Address가 복수의 CIDR이 되는 경우는 주의가 필요.
「Phase 2 Selector」가 복수행 있으면 IKEv1에서도 v2에서도 그 마다 SA 페어를 만들려고 하기 때문에 Alibaba Cloud측에서도 그 수만큼 VPN Connection이 만들 필요가 있다. 아래의 CISCO와 같은 거동을 한다.
htps : // 코 m / 마코타카 / ms / 985277345794b4 51273

정책 작성

Fortigate의 port와 Tunnel간에 상정할 수 있는 트래픽을 모두 Accept한다.

Static Route 만들기

그리고 실제로 Tunnel에 흘리는 트래픽은 그 Static Route의 next hop을 VPN Tunnel interface로 설정하는 것으로 선택한다.