Grundkonfiguration: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
Keine Bearbeitungszusammenfassung |
|||
| Zeile 26: | Zeile 26: | ||
</pre> | </pre> | ||
=Checkpoint FAQ= | =Checkpoint FAQ= | ||
==VPN== | |||
=== Wie konfiguriere ich ein VPN zwischen einer Checkpoing und einer FortiGate Firewall? === | |||
====Ausgangslage:==== | |||
{| class="wikitable" style="width:1000px" | |||
|- style="vertical-align:top;" | |||
! | |||
! scope="col" style=background:#00b050| Seite FortiGate | |||
! scope="col" style=background:#ffff00| Seite Checkpoint | |||
|- | |||
| | |||
'''Netzplan''' | |||
|colspan="2" style="text-align:center"|[[File:Fortinet-2777.jpg|750px|link=]] | |||
|- | |||
| '''Hardware''' | |||
|style="text-align:center"|FortiGate 60F | |||
|style="text-align:center"|Checkpoint 1550 | |||
|- | |||
| '''Software''' | |||
|style="text-align:center"|6.4.2 build1723 | |||
|style="text-align:center"|R80.20.05 (992001134) | |||
|- | |||
| '''Lokal Netzwerk''' | |||
|style="text-align:center"|10.10.161.0/24 | |||
|style="text-align:center"|10.10.151/24 | |||
|- | |||
| '''Public IP''' | |||
|style="text-align:center"|198.18.0.161 | |||
|style="text-align:center"|198.18.0.151 | |||
|- | |||
| | |||
'''Authentication''' | |||
|colspan="2" style="text-align:center"| | |||
Pre-shared Key definieren | |||
|- | |||
| | |||
'''IKE Version''' | |||
|colspan="2" style="text-align:center"| | |||
Version 2 | |||
|- | |||
| | |||
'''Phase 1 Proposal''' | |||
|colspan="2" style="text-align:center"| | |||
Alogrithms: AES256-SHA256 DH-Group 15 | |||
|- | |||
| | |||
'''Phase 1 Key Lifetime''' | |||
|colspan="2" style="text-align:center"| | |||
86400 Sekunden | |||
|- | |||
| | |||
'''Phase 2 Proposal''' | |||
|colspan="2" style="text-align:center"| | |||
Alogrithms: AES256-SHA512 / PFS-DH-Group 15 | |||
|- | |||
| | |||
'''Phase 2 Key Lifetime''' | |||
|colspan="2" style="text-align:center"| | |||
3600 Sekunden | |||
|- | |||
|} | |||
====Konfiguration Checkpoint 1550==== | |||
{| class="wikitable" style="width:1000px" | |||
|- style="background:#c4dc92" | |||
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:''' | |||
|- | |||
| | |||
'''Konfigurieren des VPN-Tunnels:'''<br> | |||
Um auf der Checkpoint einen VPN-Tunnel zu konfigurieren kann auf folgendes Menü angewählt werden: | |||
''VPN -> VPN Sites -> [[file:cp_new.jpg|link=]]'' | |||
[[File:Fortinet-2646.jpg|750px|link=]] | |||
'''Netzwerk-Parameter:''' | |||
# Auf das TAB ''Remote Site'' gehen | |||
# ''Site name:'' Hier wird der Name des VPN-Tunnels definiert | |||
# Bei ''Conection type'' auf ''Host Name or IP address'' setzen | |||
# ''IP address'' anwählen und im Feld die public IP-Adresse der FortiGate eingeben (198.18.0.153) | |||
# ''Behind static NAT'' ist die NAT Traversal-Einstellung | |||
[[Datei:Fortinet-2640.jpg|750px]] | |||
'''Authentication konfigurieren:'''<br> | |||
# ''Pre-shared secret'' anwählen (entspricht der Option Pre-shared KEY auf der Fortigate) | |||
# im Feld ''Password'' den selben Key eingeben, welcher bereits auf der FortiGate definiert wurde | |||
# mittels ''confirm'' den Key nochmals eingeben | |||
[[Datei:Fortinet-2641.jpg|750px|link=]] | |||
'''Remote Site Encryption Domain konfigurieren'''<br> | |||
Die Remote Site Encryption Domain entspricht dem lokalen Netz auf der FortiGate bei den Selektoren.<br> | |||
Zuerst muss das Netz oder der Host definiert werden. Dafür auf den [[file:cp_new.jpg|link=]]'' klicken.<br> | |||
Es öffnet sich folgendes Fenster: | |||
[[Datei:Fortinet-2642.jpg|750px|link=]] | |||
# den ''Type'' auf Network stellen | |||
# ''Network address'' Die Netzadresse angeben (ohne Subnetzmaske), was in unserem Fall das Netzwerk auf der FortiGate 10.10.161.0 ist | |||
# ''Subnetmask'' Die Subnetzmaske des Netzes angeben: 255.255.255.0 | |||
# ''Object name'' Hier wird der Name definiert, wie das Objekt dann angewählt werden kann | |||
# mit [[file:cp_apply.jpg|link=]] das Objekt erstellen | |||
Mit [[file:cp_select.jpg|link=]] kann das Adress-Objekt zu der Encryption ''Domain'' hinzugefügt werden. | |||
[[Datei:Fortinet-2643.jpg|750px|link=]] | |||
'''Encryption für Phase 1 und Phase 2 konfigurieren:'''<br> | |||
# das TAB ''Encryption'' anwählen | |||
# ''Encryption settings'' auf ''custom'' stellen | |||
# IKE (Phase 1) | |||
## ''Encryption'' auf AES-256 konfigurieren, alle anderen Parameter deaktivieren | |||
## ''Authentication'' auf SHA256 konfigurieren - alle anderen Parameter ebenfalls deaktivieren | |||
## '' Diffie-Hellmann group support'' setzen wir auf Group 14 (2048 bit) | |||
## ''Renegotiate every:'' wird auf 1440 Minuten gesetzt (auf der FortiGate ist 86400 Sekunden eingestellt, was 1440 Minuten entspricht) | |||
# IPSec (Phase2) | |||
## ''Encryption'' auf AES-256 konfigurieren, alle anderen Parameter deaktivieren | |||
## ''Authentication'' auf SHA256 konfigurieren, alle anderen Parameter ebenfalls deaktivieren | |||
## ''Enable Perfect Forward Secrecy'' (PFS) aktivieren | |||
## '' Diffie-Hellmann group support'' setzen wir auf Group 14 (2048 bit) | |||
## ''Renegotiate every:'' wird auf 3600 Sekunden gesetzt (auf der FortiGate haben wir diesen Parameter auf 3600s konfiguriert) | |||
[[Datei:Fortinet-2644.jpg|750px|link=]] | |||
'''Advanced Optionen konfigurieren:'''<br> | |||
# TAB ''Advanced'' anwählen | |||
# Bei den Settings die Option ''Remote Gateway is a Check Point Security Gateway'' deaktivieren | |||
# unter ''Encryption method'' den Parameter auf IKEv2 stellen. | |||
[[Datei:Fortinet-2645.jpg|750px|link=]] | |||
|- | |||
| | |||
'''Konfigurieren eines Netzwerk Objektes:'''<br> | |||
# User & Objects anwählen | |||
# Network Objects auswählen | |||
[[Datei:Fortinet-2648.jpg|550px|link=]] | |||
Im Editor-Fenster folgendes konfigurieren:<br> | |||
# ''Type'' auf Network einstellen | |||
# ''Network address'': Die Netzwerk-Adresse ohne Netzmaske eintragen | |||
# ''Subnet mask'': Die Subnetzmaske des Netzes eintragen | |||
# '' Object name'': Name des Adress-Objektes eintragen | |||
# mit dem Button [[file:cp_apply.jpg|link=]] wird das Objekt erstellt | |||
[[Datei:Fortinet-2647.jpg|750px|link=]] | |||
'''Konfigurieren der Policy:''' <br> | |||
Nun gilt es noch die Firewall Regeln zu konfigurieren: <br> | |||
# Menu ''Access Policy'' anwählen | |||
# ''Policy'' auswählen | |||
# unter dem Menu ''Incoming, Internal and VPN traffic'' mit [[file:cp_new.jpg|link=]] wird eine neue VPN-Regel erstellt | |||
[[Datei:Fortinet-2656.jpg|750px|link=]] | |||
# Source und Destination, wie auch die Services anwählen. | |||
# Das Feld ''Match only for encrypted traffic'' auswählen, so wird sichergestellt, dass diese Regel für den verschlüsselten Traffic gilt. | |||
# mit [[file:cp_apply.jpg|link=]] wird die Regel erstellt und aktiv | |||
[[Datei:Fortinet-2654.jpg|750px|link=]] | |||
# das Selbe in grün noch für die Gegenrichtung falls dies vom Setup erforderlich ist | |||
[[Datei:Fortinet-2653.jpg|750px|link=]] | |||
[[Datei:Fortinet-2655.jpg|750px|link=]] | |||
|} | |||
====Konfiguration FortiGate 60F:==== | |||
{| class="wikitable" style="width:1000px" | |||
|- style="background:#c4dc92" | |||
| [[file:config_webgui.png|25px|link=]] '''Konfiguration über das WebGUI:''' | |||
|- | |||
| | |||
'''Konfigurieren des VPN-Tunnels:''' | |||
'''Netzwerkeinstellungen:''' | |||
# Name des VPN-Tunnels definieren (es wird ein Tunnel-Interface mit diesem Namen gebildet) | |||
# Bei ''Remote Gateway'' den Typ auf ''Static IP Address'' stellen | |||
# Im Feld ''IP Address'' wird die public IP-Adresse der Checkpoint eingetragen (198.18.0.151) | |||
# Bei ''Interface'' wird das ausgehende Interface (meistens WAN) angegeben. Auf diesem Interface wird das Tunnel-Interface dann als Subinterface gebildet | |||
# ''NAT Traversal'' ist zu definieren, falls noch ein NAT Device zwischen der FortiGate und der Checkpoint vorhanden ist. | |||
[[File:Fortinet-2634.jpg|750px|link=]] | |||
'''Authentication konfigurieren:''' | |||
# ''Method'' Auf Pr-shared Key einstellen | |||
# Im Feld ''Pre-shared Key'' einen komplexen, nicht nachvollziehbaren Key konfigurieren (dieser Key wird auf der Checkpoint dann auch benötigt) | |||
# In unserem Beispiel werden wir mit IKE Version 2 arbeiten. Dementsprechend den Parameter auf 2 einstellen | |||
[[File:Fortinet-2635.jpg|750px|link=]] | |||
'''Phase 1 Parameter konfigurieren:''' | |||
# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 konfigurieren | |||
# Alle anderen Encryption- und Authentications-Parameter entfernen | |||
# Die ''Diffie-Hellmann Group'' wird auf 14 eingestellt | |||
# Der Parameter ''Key Lifetime'' (seconds) auf 86400 (1440 Minuten) stellen | |||
[[File:Fortinet-2636.jpg|750px|link=]] | |||
'''Phase 2 Selektoren konfigurieren:''' | |||
In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert: | |||
# ''Name'' in diesem Feld kann ein Name für den Selektor definiert werden | |||
# ''Local Address'' Das Netz welches bei der Fortigate erreicht werden soll. Typ auf Subnet stellen und Adresse: 10.10.161.0/24 konfigurieren | |||
# ''Remote Address'' Das Netz welches wir hinter der Checkpoint erreichen wollen. Typ auf Subnet stellen und Adresse 10.10.151.0/24 konfigurieren | |||
# Unter dem Menüpunkt ''Advanced'' können die Phase 2 Proposal konfiguriert werden | |||
# ''Encryption'' auf AES256 und ''Authentication'' auf SHA256 stellen. Alle anderen Encryption- und Authentications-Parameter entfernen | |||
# ''Perfect Forward Secrecy (PFS)'' aktivieren | |||
# Die ''Difie-Hellman Group'' auf 14 stellen | |||
# ''Key Lifetime'' auf Second stellen und dann 3600 Sekunden einstellen (dies ist nicht der default Wert auf der FortiGate) | |||
[[File:Fortinet-2637.jpg|750px|link=]] | |||
|- | |||
| | |||
'''Konfigurieren der Routen:'''<br> | |||
Auf der FortiGate muss das Netz der Remote Seite(10.10.151.0/24) in den IPSec-Tunnel geroutet werden. Dabei zeigt die Route auf das Tunnel-Interface (vpn_to_CP_151). Damit bei einem Unterbruch des Tunnels der Traffic nicht über die default Route ins Internet geroutet wird, sollte eine Blackhole Route konfiguriert werden. Mehr Details dazu im Artikel : [[FortiGate:FAQ#Was_ist_eine_Blackhole-Route.3F|Was ist eine Blackhole Route?]] | |||
Die Routen werden wie folgt konfiguriert: | |||
Menu: Network -> Static Routes -> [[File:Createnew.jpg|link=]]<br> | |||
[[File:Fortinet-2651.jpg|750px|link=]] | |||
Blackhole Route mit Distanz 254: | |||
[[File:Fortinet-2807.jpg|750px|link=]] | |||
|- | |||
| | |||
'''Konfigurieren der Policies:'''<br> | |||
Es braucht mindestens eine Policy auf der FortiGate. Damit der Traffic bidirektional durch den Tunnel geht, empfiehlt es sich eine Regel in jede Richtung zu konfigurieren. Dabei ist die Kommunikation zwischen dem VPN-Tunnel Interface (vpn_cp-forti) und dem internen Interface (internal2). | |||
Menu : Policy & Objects -> IPv4 Policy -> [[File:Createnew.jpg|link=]]<br> | |||
[[File:Fortinet-2652.jpg|550px|link=]] | |||
Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz) | |||
Dabei kann die ''Clone Reverse'' Funktion benutzt werden. | |||
[[File:Fortinet-2808.jpg|link=]] | |||
Komplettes Regelsetup: | |||
[[File:Fortinet-2638.jpg|950px|link=]] | |||
|- style="background:#c4dc92" | |||
| [[file:config_cli.png|25px|link=]] '''Konfiguration via CLI:''' | |||
|- | |||
| | |||
'''VPN Phase 1 konfigurieren:'''<br> | |||
<pre> | |||
config vpn ipsec phase1-interface | |||
edit "vpn_to_CP_151" | |||
set interface "wan1" | |||
set ike-version 2 | |||
set peertype any | |||
set net-device disable | |||
set proposal aes256-sha256 | |||
set dhgrp 14 | |||
set remote-gw 198.18.0.151 | |||
set psksecret "Hier_einen_komplexen_Key_eingeben" | |||
next | |||
end | |||
</pre> | |||
---- | |||
'''VPN Phase 2 konfigurieren:'''<br> | |||
<pre> | |||
config vpn ipsec phase2-interface | |||
edit "p2-vpn_to_lab-0062-10.10.162.0-24" | |||
set phase1name "vpn_to_lab-0062" | |||
set proposal aes256-sha256 | |||
set dhgrp 14 | |||
set auto-negotiate enable | |||
set src-subnet 10.10.161.0 255.255.255.0 | |||
set dst-subnet 10.10.162.0 255.255.255.0 | |||
next | |||
end | |||
</pre> | |||
---- | |||
'''Routen konfigurieren:'''<br> | |||
<pre> | |||
config router static | |||
edit 2 | |||
set dst 10.10.151.0 255.255.255.0 | |||
set device "vpn_to_CP_151" | |||
next | |||
edit 3 | |||
set dst 10.10.151.0 255.255.255.0 | |||
set distance 254 | |||
set comment "blackhole Route - CP Remote Netz" | |||
set blackhole enable | |||
next | |||
end | |||
</pre> | |||
---- | |||
'''Adress Objekte für Policies konfigurieren:''' | |||
<pre> | |||
config firewall address | |||
edit "net_remoteVPN-10.10.151.0-24" | |||
set comment "Remote Netz -VPN Checkpoint" | |||
set color 10 | |||
set subnet 10.10.151.0 255.255.255.0 | |||
next | |||
edit "net_ul-10.10.161.0-24" | |||
set color 3 | |||
set subnet 10.10.161.0 255.255.255.0 | |||
next | |||
end | |||
</pre> | |||
---- | |||
'''Policy konfigurieren:''' | |||
<pre> | |||
config firewall policy | |||
edit 5 | |||
set name "I_vpn_CP_151->10.0.161.0-24" | |||
set srcintf "vpn_to_CP_151" | |||
set dstintf "internal2" | |||
set srcaddr "net_remoteVPN-10.10.151.0-24" | |||
set dstaddr "net_ul-10.10.161.0-24" | |||
set action accept | |||
set schedule "always" | |||
set service "ALL" | |||
set logtraffic all | |||
next | |||
edit 6 | |||
set name "O_vpn_10.10.161.0-24->CP_151" | |||
set srcintf "internal2" | |||
set dstintf "vpn_to_CP_151" | |||
set srcaddr "net_ul-10.10.161.0-24" | |||
set dstaddr "net_remoteVPN-10.10.151.0-24" | |||
set action accept | |||
set schedule "always" | |||
set service "ALL" | |||
set logtraffic all | |||
next | |||
end | |||
</pre> | |||
|} | |||
==== Erfolgskontrolle ==== | |||
'''FortiGate Monitor:''' | |||
[[File:Fortinet-2639.jpg|1000px|link=]] | |||
---- | |||
'''Checkpoint Monitor:''' | |||
[[File:Fortinet-2658.jpg|1000px|link=]] | |||
---- | |||
'''Traffic generieren und im Debug auf den beiden Geräten prüfen:'''<br> | |||
Ping von der FortiGate aus generiert: | |||
# mit dem Befehl <code> execute ping-option source 10.10.161.2</code> können wir der FortiGate angeben, mit welcher Adresse diese den Ping ausführen soll | |||
# mit dem Befehl <code> execute ping 10.10.151.2 </code> können wir die IP Adresse auf der Checkpoint vom LAN Interface anpingen | |||
[[File:Fortinet-2657.jpg|750px|link=]] | |||
Im Flow sieht das so aus: | |||
# diag debug flow filter clear | |||
# diag debug flow filter sadd 10.10.161.2 | |||
# diag debug flow filter dadd 10.10.151.2 | |||
# diag debug flow trace start 9000 | |||
# diag debug enable | |||
# id=20085 trace_id=6 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=0." | |||
id=20085 trace_id=6 func=init_ip_session_common line=5810 msg="allocate a new session-00087e78" | |||
id=20085 trace_id=6 func=ipd_post_route_handler line=439 <span style="background-color: #ddb6dd;">msg="out vpn_to_CP_151 vwl_zone_id 0,</span> state2 0x0, quality 0. | |||
" | |||
id=20085 trace_id=6 func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-vpn_to_CP_151" | |||
id=20085 trace_id=6 func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-vpn_to_CP_151" | |||
id=20085 trace_id=6 func=esp_output4 line=907 msg="IPsec encrypt/auth" | |||
id=20085 trace_id=6 func=ipsec_output_finish line=622 msg="send to 198.18.0.151 via intf-wan1" | |||
id=20085 trace_id=7 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=1." | |||
id=20085 trace_id=7 func=resolve_ip_tuple_fast line=5720 msg="Find an existing session, id-00087e78, original direction" | |||
id=20085 trace_id=7 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0. | |||
# diag debug reset | |||
# diag debug disable | |||
---- | |||
'''fw monitor auf der Checkpoint: ''' | |||
<pre> | |||
fwalem-lab-0151> expert in den Expert Modus wechseln | |||
Enter expert password: | |||
You are in expert mode now. | |||
FW Monitor: | |||
[Expert@fwalem-lab-0151]# fw monitor -e 'accept host(10.10.161.2);' | |||
fw: getting filter (from command line) | |||
fw: compiling | |||
monitorfilter: | |||
Compiled OK. | |||
fw: loading | |||
fw: monitoring (control-C to stop) | |||
[vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344 | |||
ICMP: type=8 code=0 echo request id=3840 seq=1 | |||
[vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344 | |||
ICMP: type=8 code=0 echo request id=3840 seq=1 | |||
[vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498 | |||
ICMP: type=0 code=0 echo reply id=3840 seq=1 | |||
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498 | |||
ICMP: type=0 code=0 echo reply id=3840 seq=1 | |||
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498 | |||
ICMP: type=0 code=0 echo reply id=3840 seq=1 | |||
[vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345 | |||
ICMP: type=8 code=0 echo request id=3840 seq=2 | |||
[vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345 | |||
ICMP: type=8 code=0 echo request id=3840 seq=2 | |||
[vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720 | |||
ICMP: type=0 code=0 echo reply id=3840 seq=2 | |||
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720 | |||
ICMP: type=0 code=0 echo reply id=3840 seq=2 | |||
[vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720 | |||
…… | |||
Mit ctrl+c kann der Output abgebrochen werden | |||
</pre> | |||
Guide als PDF Herunterladen: | |||
* [[Datei:HowTo_VPN_FortiGate-Checkpoint_SNB.pdf]] | |||
Version vom 13. Oktober 2020, 15:41 Uhr
Checkpoint FAQ
Vorwort
Datenschutz
*********************************************************************
* *
* THIS FILE MAY CONTAIN CONFIDENTIAL, PRIVILEGED OR OTHER LEGALLY *
* PROTECTED INFORMATION. YOU ARE PROHIBITED FROM COPYING, *
* DISTRIBUTING OR OTHERWISE USING IT WITHOUT PERMISSION FROM *
* ALSO SCHWEIZ SWITZERLAND. *
* *
*********************************************************************
"Die in diesen Artikeln enthaltenen Informationen sind vertraulich und dürfen ohne
schriftliche Zustimmung der ALSO Schweiz AG gegenüber Dritt-Unternehmen nicht
bekannt gemacht werden"
Checkpoint FAQ
VPN
Wie konfiguriere ich ein VPN zwischen einer Checkpoing und einer FortiGate Firewall?
Ausgangslage:
| Seite FortiGate | Seite Checkpoint | |
|---|---|---|
|
Netzplan |
| |
| Hardware | FortiGate 60F | Checkpoint 1550 |
| Software | 6.4.2 build1723 | R80.20.05 (992001134) |
| Lokal Netzwerk | 10.10.161.0/24 | 10.10.151/24 |
| Public IP | 198.18.0.161 | 198.18.0.151 |
|
Authentication |
Pre-shared Key definieren | |
|
IKE Version |
Version 2 | |
|
Phase 1 Proposal |
Alogrithms: AES256-SHA256 DH-Group 15 | |
|
Phase 1 Key Lifetime |
86400 Sekunden | |
|
Phase 2 Proposal |
Alogrithms: AES256-SHA512 / PFS-DH-Group 15 | |
|
Phase 2 Key Lifetime |
3600 Sekunden | |
Konfiguration Checkpoint 1550
 Konfiguration über das WebGUI:
|
|
Konfigurieren des VPN-Tunnels: VPN -> VPN Sites -> Netzwerk-Parameter:
Remote Site Encryption Domain konfigurieren
Mit Encryption für Phase 1 und Phase 2 konfigurieren:
Advanced Optionen konfigurieren:
|
|
Konfigurieren eines Netzwerk Objektes:
Im Editor-Fenster folgendes konfigurieren:
Konfigurieren der Policy:
|
das Objekt erstellen
kann das Adress-Objekt zu der Encryption Domain hinzugefügt werden.
Konfiguration FortiGate 60F:
| Konfiguration über das WebGUI:
|
|
Konfigurieren des VPN-Tunnels: Netzwerkeinstellungen:
Authentication konfigurieren:
Phase 1 Parameter konfigurieren:
Phase 2 Selektoren konfigurieren: In diesem Beispiel zeigen wir, wie man den Selektor für 10.10.161.0/24 zu 10.10.151.0/24 konfiguriert:
|
|
Konfigurieren der Routen: Die Routen werden wie folgt konfiguriert:
Menu: Network -> Static Routes -> Blackhole Route mit Distanz 254: |
|
Konfigurieren der Policies: Menu : Policy & Objects -> IPv4 Policy -> Die ganze Policy noch bei bedarf gegengleich konfigurieren (Source Interface / Netz und Destinations Interface / Netz) Dabei kann die Clone Reverse Funktion benutzt werden. Komplettes Regelsetup: |
 Konfiguration via CLI:
|
|
VPN Phase 1 konfigurieren: config vpn ipsec phase1-interface
edit "vpn_to_CP_151"
set interface "wan1"
set ike-version 2
set peertype any
set net-device disable
set proposal aes256-sha256
set dhgrp 14
set remote-gw 198.18.0.151
set psksecret "Hier_einen_komplexen_Key_eingeben"
next
end
VPN Phase 2 konfigurieren: config vpn ipsec phase2-interface
edit "p2-vpn_to_lab-0062-10.10.162.0-24"
set phase1name "vpn_to_lab-0062"
set proposal aes256-sha256
set dhgrp 14
set auto-negotiate enable
set src-subnet 10.10.161.0 255.255.255.0
set dst-subnet 10.10.162.0 255.255.255.0
next
end
Routen konfigurieren: config router static
edit 2
set dst 10.10.151.0 255.255.255.0
set device "vpn_to_CP_151"
next
edit 3
set dst 10.10.151.0 255.255.255.0
set distance 254
set comment "blackhole Route - CP Remote Netz"
set blackhole enable
next
end
Adress Objekte für Policies konfigurieren: config firewall address
edit "net_remoteVPN-10.10.151.0-24"
set comment "Remote Netz -VPN Checkpoint"
set color 10
set subnet 10.10.151.0 255.255.255.0
next
edit "net_ul-10.10.161.0-24"
set color 3
set subnet 10.10.161.0 255.255.255.0
next
end
Policy konfigurieren: config firewall policy
edit 5
set name "I_vpn_CP_151->10.0.161.0-24"
set srcintf "vpn_to_CP_151"
set dstintf "internal2"
set srcaddr "net_remoteVPN-10.10.151.0-24"
set dstaddr "net_ul-10.10.161.0-24"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
edit 6
set name "O_vpn_10.10.161.0-24->CP_151"
set srcintf "internal2"
set dstintf "vpn_to_CP_151"
set srcaddr "net_ul-10.10.161.0-24"
set dstaddr "net_remoteVPN-10.10.151.0-24"
set action accept
set schedule "always"
set service "ALL"
set logtraffic all
next
end
|
Erfolgskontrolle
FortiGate Monitor:
Checkpoint Monitor:
Traffic generieren und im Debug auf den beiden Geräten prüfen:
Ping von der FortiGate aus generiert:
- mit dem Befehl
execute ping-option source 10.10.161.2können wir der FortiGate angeben, mit welcher Adresse diese den Ping ausführen soll - mit dem Befehl
execute ping 10.10.151.2können wir die IP Adresse auf der Checkpoint vom LAN Interface anpingen
Im Flow sieht das so aus:
# diag debug flow filter clear
# diag debug flow filter sadd 10.10.161.2
# diag debug flow filter dadd 10.10.151.2
# diag debug flow trace start 9000
# diag debug enable
# id=20085 trace_id=6 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=0."
id=20085 trace_id=6 func=init_ip_session_common line=5810 msg="allocate a new session-00087e78"
id=20085 trace_id=6 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0.
"
id=20085 trace_id=6 func=ipsecdev_hard_start_xmit line=789 msg="enter IPsec interface-vpn_to_CP_151"
id=20085 trace_id=6 func=_ipsecdev_hard_start_xmit line=666 msg="IPsec tunnel-vpn_to_CP_151"
id=20085 trace_id=6 func=esp_output4 line=907 msg="IPsec encrypt/auth"
id=20085 trace_id=6 func=ipsec_output_finish line=622 msg="send to 198.18.0.151 via intf-wan1"
id=20085 trace_id=7 func=print_pkt_detail line=5639 msg="vd-root:0 received a packet(proto=1, 10.10.161.2:3584->10.10.151.2:2048) from local. type=8, code=0, id=3584, seq=1."
id=20085 trace_id=7 func=resolve_ip_tuple_fast line=5720 msg="Find an existing session, id-00087e78, original direction"
id=20085 trace_id=7 func=ipd_post_route_handler line=439 msg="out vpn_to_CP_151 vwl_zone_id 0, state2 0x0, quality 0.
# diag debug reset
# diag debug disable
fw monitor auf der Checkpoint:
fwalem-lab-0151> expert in den Expert Modus wechseln Enter expert password: You are in expert mode now. FW Monitor: [Expert@fwalem-lab-0151]# fw monitor -e 'accept host(10.10.161.2);' fw: getting filter (from command line) fw: compiling monitorfilter: Compiled OK. fw: loading fw: monitoring (control-C to stop) [vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344 ICMP: type=8 code=0 echo request id=3840 seq=1 [vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53344 ICMP: type=8 code=0 echo request id=3840 seq=1 [vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498 ICMP: type=0 code=0 echo reply id=3840 seq=1 [vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498 ICMP: type=0 code=0 echo reply id=3840 seq=1 [vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7498 ICMP: type=0 code=0 echo reply id=3840 seq=1 [vs_0][fw_2] WAN:id[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345 ICMP: type=8 code=0 echo request id=3840 seq=2 [vs_0][fw_2] WAN:ID[84]: 10.10.161.2 -> 10.10.151.2 (ICMP) len=84 id=53345 ICMP: type=8 code=0 echo request id=3840 seq=2 [vs_0][fw_2] WAN:o[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720 ICMP: type=0 code=0 echo reply id=3840 seq=2 [vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720 ICMP: type=0 code=0 echo reply id=3840 seq=2 [vs_0][fw_2] WAN:O[84]: 10.10.151.2 -> 10.10.161.2 (ICMP) len=84 id=7720 …… Mit ctrl+c kann der Output abgebrochen werden
Guide als PDF Herunterladen: