[Fortigate-#4]-Site to Site VPN-Manual Setup

안녕하세요.

 

이번에는 Site to Site VPN를 메뉴얼하게 설정해보겠습니다. 

 

토폴로지는 아래와 같습니다.

 

FW01: WAN 192.168.100.1/24 port1

FW01 LAN port4

VL10 172.17.70.254/24

VL20 172.17.71.254/24

VL30 172.17.72.254/24

VL40 172.17.73.254/24

 

FW02: WAN 192.168.100.1/24 port1

FW02 LAN 10.1.1.0/24 port4

 

기본 설정은 아래 글을 확인후 기본 설정을 합니다.

https://itblog-kr.tistory.com/58

[Fortigate-#2]-Site to Site VPN with Wizard

 

저는 Site to Site VPN 메뉴얼하게 설정하는 부분만 설정하겠습니다.

FW01에서 VPN 설정합니다.

1. VPN -> IPsec Tunnels -> Create New 클릭 합니다

 

2. 자동으로 IPsec Wizard로 변경 되지만 아래 사진처럼 Custom를 선택합니다. 

 

3. 

Remote Gateway - Static IP address

Ip address -상대방 방화벽 WAN IP입력

Interface - 현재 방화벽 인터넷 WAN port 선택

Local Gateway enable 하고 Primary IP를 선택 합니다.

 

Pre-shared Key - CiscoCisco

IKE version - v2 선택합니다. 

 

Encryption: DES  - 실제 방화벽에서는 aes256 선택합니다 보안상

Authentucation - SHA256

Diffie-Hellman Group - 14

Key LifeTIme - 86400

 

Name: S2S_VPN_01

Local Address: 172.17.70.0/24

Remote Address: 10.1.1.0/24

 

Phase2 Proposal - click add button

Encryption - DES - 실제 장비이면 옵션을 변경합니다 보안상 - 

Authentication - SHA256

Auto-Nego - 체크박스

 

VPN이 생성 되었습니다.

 

4. 이번에는 방화벽 정책을 설정 합니다.

Destination에 Remote Subnet이 없는데 추가서 Addrsss를 생성 하고 아래처럼 정책을 설정 합니다. 

 

이번에는 상대방 방화벽 LAN에서 현재 방화벽 LAN에 접속 가능하게 정책을 추가 합니다.

 

2개 방화벽이 생성 되었습니다.

 

5. 이번에는 Static Route를 생성 합니다.

 

라우팅 확인합니다.

 

FW01에 대해서 방화벽 설정을 완료 하였습니다

 

이번에는 FW02에서 설정 하겠습니다.

 

1. VPN -> IPsec Tunnels -> Create New

 

2. 이름을 입력하고 Custom를 선택하고 next를 클릭 합니다. 

 

3. IPsec VPN 옵션을 설정합니다.

Phase1

 

Pre-shared Key - CiscoCisco

Verion - Ike V2선택합니다. 

 

Phase2 설정

 

Save버튼을 클릭하면 IPsec VPN 터널이 생성 되었습니다.

 

5. 방화벽 정책을 설정 합니다.

 

그리고 Reverse 방화벽 정책도 추가 합니다.

 

아래처럼 방화벽 정책이 설정 하였습니다. 

 

6. Static Route를 설정 합니다.

 

 

 

라우팅 확인 합니다.

 

1분뒤에 VPN 상태를 확인합니다.

 

VPN이 Up이 되었습니다.

 

SW01 설정 입니다. 

interface GigabitEthernet0/0  switchport trunk encapsulation dot1q  switchport mode trunk  media-type rj45  negotiation auto ! interface GigabitEthernet0/1  media-type rj45  negotiation auto ! interface GigabitEthernet0/2  media-type rj45  negotiation auto ! interface GigabitEthernet0/3  media-type rj45  negotiation auto ! interface GigabitEthernet1/0  switchport access vlan 10  switchport mode access  media-type rj45  negotiation auto ! interface GigabitEthernet1/1  switchport access vlan 20  switchport mode access  media-type rj45  negotiation auto ! interface GigabitEthernet1/2  switchport access vlan 30  switchport mode access  media-type rj45  negotiation auto ! interface GigabitEthernet1/3  switchport access vlan 40  switchport mode access  media-type rj45  negotiation auto !          interface Vlan10  ip address 172.17.70.1 255.255.255.0 ! interface Vlan20  ip address 172.17.71.1 255.255.255.0 ! interface Vlan30  ip address 172.17.72.1 255.255.255.0 ! interface Vlan40  ip address 172.17.73.1 255.255.255.0 ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 172.17.70.254 ! ! !

 

SW02 설정입니다.

interface GigabitEthernet0/0  no switchport  ip address 10.1.1.1 255.255.255.0  negotiation auto ! interface GigabitEthernet1/0  media-type rj45  negotiation auto ! interface GigabitEthernet1/1  media-type rj45  negotiation auto ! interface GigabitEthernet1/2  media-type rj45  negotiation auto ! interface GigabitEthernet1/3  media-type rj45  negotiation auto ! ip forward-protocol nd ! no ip http server no ip http secure-server ! ip route 0.0.0.0 0.0.0.0 10.1.1.254 ! ! !

 

Virtual PC01 ~ 04 설정입니다.

VPCS> ip 172.17.70.100 255.255.255.0 gateway 172.17.70.254 Checking for duplicate address... VPCS : 172.17.70.100 255.255.255.0 gateway 172.17.70.254 VPCS> show ip NAME        : VPCS[1] IP/MASK     : 172.17.70.100/24 GATEWAY     : 172.17.70.254 DNS         :  MAC         : 00:50:79:66:68:3f LPORT       : 20000 RHOST:PORT  : 127.0.0.1:30000 MTU         : 1500 VPCS>  VPCS> ip 172.17.71.100 255.255.255.0 gateway 172.17.71.254 Checking for duplicate address... VPCS : 172.17.71.100 255.255.255.0 gateway 172.17.71.254 VPCS> show ip NAME        : VPCS[1] IP/MASK     : 172.17.71.100/24 GATEWAY     : 172.17.71.254 DNS         :  MAC         : 00:50:79:66:68:40 LPORT       : 20000 RHOST:PORT  : 127.0.0.1:30000 MTU         : 1500 VPCS>  VPCS> ip 172.17.72.100 255.255.255.0 gateway 172.17.72.254 Checking for duplicate address... VPCS : 172.17.72.100 255.255.255.0 gateway 172.17.72.254 VPCS> show ip NAME        : VPCS[1] IP/MASK     : 172.17.72.100/24 GATEWAY     : 172.17.72.254 DNS         :  MAC         : 00:50:79:66:68:41 LPORT       : 20000 RHOST:PORT  : 127.0.0.1:30000 MTU         : 1500 VPCS>  VPCS> ip 172.17.73.100 255.255.255.0 gateway 172.17.73.254 Checking for duplicate address... VPCS : 172.17.73.100 255.255.255.0 gateway 172.17.73.254 VPCS> show ip NAME        : VPCS[1] IP/MASK     : 172.17.73.100/24 GATEWAY     : 172.17.73.254 DNS         :  MAC         : 00:50:79:66:68:42 LPORT       : 20000 RHOST:PORT  : 127.0.0.1:30000 MTU         : 1500 VPCS>

 

VPCS01 ping to 10.1.1.1

VPCS> ping 10.1.1.1 84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=18.977 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=13.349 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=7.608 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=8.679 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=10.129 ms VPCS>

VPCS02 ping to 10.1.1.1

VPCS> ping 10.1.1.1 10.1.1.1 icmp_seq=1 timeout 10.1.1.1 icmp_seq=2 timeout 10.1.1.1 icmp_seq=3 timeout 10.1.1.1 icmp_seq=4 timeout 10.1.1.1 icmp_seq=5 timeout ^C VPCS>

VPCS03 ping to 10.1.1.1

VPCS> ping 10.1.1.1 10.1.1.1 icmp_seq=1 timeout 10.1.1.1 icmp_seq=2 timeout 10.1.1.1 icmp_seq=3 timeout 10.1.1.1 icmp_seq=4 timeout 10.1.1.1 icmp_seq=5 timeout VPCS>

VPCS04 ping to 10.1.1.1

VPCS> ping 10.1.1.1 10.1.1.1 icmp_seq=1 timeout 10.1.1.1 icmp_seq=2 timeout 10.1.1.1 icmp_seq=3 timeout 10.1.1.1 icmp_seq=4 timeout 10.1.1.1 icmp_seq=5 timeout

 

VPCS02~04는 PIng이 실패 했습니다.

 

그 이유는 특정 대역에 대해서 라우팅을 꺽어주어야 합니다. 

VPN tunnel 설정할때

Local Network은 172.17.70.0/24만 추가했기때문에 통신이 실패 하였습니다.

 

이부분을 방화벽에서 수정 합니다.

 

FW01에서 Address를 생성 합니다.

 

그리고 Address group을 생성 합니다. 

 

S2S_VPN_LOCAL_GROUP

S2S_VPN_REMOTE_GROUP

 

Address랑 Address Group를 확인합니다.

 

 

FW01에서 VPN Tunnel를 수정 합니다.

 

아래처럼 수정 합니다.

 

FW02도 똑같이 Address를 생성 하고 Address Group를 생성 합니다.

 

 

 

 

 

 

Address Group 설정

 

 

VPN Tunnel 옵션을 변경 합니다.

아래처럼 수정 합니다. 

 

그리고 방화벽 정책도 수정 합니다.

FW01

FW02

 

ping를 다시 테스트 합니다.

Virtual PC02

VPCS> ping 10.1.1.1 84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=6.582 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=9.715 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=8.161 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=7.880 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=15.694 ms

Virtual PC03

VPCS> ping 10.1.1.1 84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=8.842 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=8.746 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=7.627 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=7.392 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=29.680 ms

Virtual PC04

VPCS> ping 10.1.1.1 84 bytes from 10.1.1.1 icmp_seq=1 ttl=253 time=9.869 ms 84 bytes from 10.1.1.1 icmp_seq=2 ttl=253 time=9.737 ms 84 bytes from 10.1.1.1 icmp_seq=3 ttl=253 time=35.077 ms 84 bytes from 10.1.1.1 icmp_seq=4 ttl=253 time=9.397 ms 84 bytes from 10.1.1.1 icmp_seq=5 ttl=253 time=6.285 ms

 

지금까지 Fortigate Site-to-Site VPN 수동으로 설정 하는 방법에 대해서 알아보았습니다. 

글을 읽어주셔서 감사합니다.