Fortigate ipsec vpn with cisco ftd

于 2024-04-12 14:21:57 发布
阅读量295 收藏 7
点赞数 3
文章标签: 网络 运维 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lakers_66/article/details/137676765
版权

背景:某分支机构设备升级至fortigate,替换原思科ASA防火墙,除基础网络如nat,policy等配置外还需完成与cisco ftd的ipsec连接,现记录如下。

Fortigate 侧:

1. 开启policy-based IPsec VPN功能

2. 添加Custom IPsec vpn

3. 取消勾选Enable IPsec Interface Mode.

4. 设置IPsec phase 1 的信息,特别注意proposal 中算法等的定义,fortigate与ftd设置差别蛮大。

5. 设置phase 2,proposal与感兴趣流,飞塔中如果涉及多条感兴趣流,你需要添加多个phase 2的selectors,且需要分别对每一个selectors设置proposalo。

6. 放通policy

7. 查看VPN的状态与流量,点击UP进去看详细流量

FTD侧:

1. 指定VPN模式,设置对端IP,对端感兴趣流,本端IP,本端感兴趣流

2. 设置IKE参数,也就是Phase 1 proposal参数。

请注意与飞塔的对比,此次使用的phase 1 proposal 为AES GCM 256, PRF SHA 1, DH 14 

 

3. 设置IPsec参数,也就是Phase 2 proposal参数

4. 放通Policy.

5. 查看VPN状态

CLI, 快准狠

Fortigate 侧:

config vpn ipsec phase1
    edit "Test-IPSec"
        set interface "wan1"
        set ike-version 2
        set peertype any
        set proposal aes256gcm-prfsha1
        set dhgrp 14
        set remote-gw 对端公网IP
        set psksecret 协商的key
    next
end
config vpn ipsec phase2
    edit "Test-IPSec"
        set phase1name "Test-IPSec"
        set proposal aes256-sha384 aes256gcm aes256-sha1
        set pfs disable
        set keylifeseconds 28800
        set src-subnet 本端感兴趣流
        set dst-subnet 对端感兴趣流
    next
    edit "Test-IPSec-2" #第二个感兴趣流
        set phase1name "Test-IPSec"
        set proposal aes256-sha384 aes256gcm aes256-sha1
        set dhgrp 14
        set keylifeseconds 28800
        set src-subnet 本端感兴趣流
        set dst-subnet 对端感兴趣流-2
    next
end
config firewall policy
    edit 2
        set name "Inside_2_IPSec"
        set srcintf "internal2"
        set dstintf "Outside_Zone"
        set action ipsec #actio的动作为ipsec
        set srcaddr "本端感兴趣流"
        set dstaddr "对端感兴趣流" "对端感兴趣流2"
        set schedule "always"
        set service "ALL"
        set inbound enable
        set vpntunnel "ipsec phase 1的名字"
    next

get vpn ipsec tunnel summar  #查看tunnel
get vpn ipsec tunnel details #查看tunnel

FTD侧:

FTD无法使用cli,show代码出来吧,跟ASA配置一样

crypto ikev2 enable Outside  #使能ikev2

#定义VPN类型,与key
tunnel-group 对端公网IP type ipsec-l2l
tunnel-group 对端公网IP general-attributes
 default-group-policy .DefaultS2SGroupPolicy
tunnel-group 对端公网IP ipsec-attributes
 ikev2 remote-authentication pre-shared-key *****
 ikev2 local-authentication pre-shared-key *****

crypto isakmp identity address
crypto ikev2 policy 2        #ikev2 phase1 proposal
 encryption aes-gcm-256
 integrity null
 group 14
 prf sha
 lifetime seconds 86400


crypto ipsec ikev2 ipsec-proposal CSM_IP_2   #ikev2 phase2 proposal
 protocol esp encryption aes-256
 protocol esp integrity sha-1


access-list CSM_IPSEC_ACL_1 extended permit ip 10.xx.0.0 255.255.0.0 10.xx.16.0 255.255.248.0    #permit 本端感兴趣流到对端感兴趣流
access-list CSM_IPSEC_ACL_1 extended permit ip 10.xx.2.0 255.255.255.0 10.xx.16.0 255.255.248.0  #permit 本端感兴趣流2到对端感兴趣流

crypto ipsec security-association pmtu-aging infinite
crypto map CSM_Outside_map 1 match address CSM_IPSEC_ACL_1
crypto map CSM_Outside_map 1 set peer 对端公网IP
crypto map CSM_Outside_map 1 set ikev2 ipsec-proposal CSM_IP_2
crypto map CSM_Outside_map 1 set reverse-route
crypto map CSM_Outside_map interface Outside

Ihavethreecats
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
(FortiGate)飞塔防火墙IPMAC绑定设置步骤
weixin_34261739的博客
02-05 2441
1. 飞塔防火墙IPMAC绑定是通过底层进行配置的,我们先进行IPMAC绑定的常规设置config firewall ipmacbinding settingset bindthroughfw enable IPMAC绑定的允许通过防火墙set bindtofw enable IPMAC绑定的允许访问防火墙set undefin...
fortigate与juniper_IPSEC配置手册.docx
06-23
FortiGate 与Juniper 配置标准/FortiGate 与Juniper 配置标准
教程篇(7.2) 17. IPsec虚拟专用网络 & FortiGate基础设施 ❀ Fortinet网络安全专家 NSE4
防火墙技术专栏
04-22 2150
在本课中,你将了解IPsec虚拟专用网络的体系结构组件以及如何配置它们。
Mac FortiClient VPN一直连接不上?正确的安装步骤来了!
TeroZhang的博客
05-16 9200
FortiGate是全新的下一代防火墙,在整个硬件架构和系统上面都有新的设计,在性能和功能上面都有了很大提升,具有性能高、接口丰富、功能齐全、安全路由交换一体化、性价比高等优势。 FortiGate全新下一代防火墙是面向云计算、数据中心和园区及企业网出口用户开发的新一代高性能防火墙设备
【隧道篇 / IPsec】(5.6) ❀ 01. IPsec 结构与需求 ❀ FortiGate 防火墙
防火墙技术专栏
09-03 4809
【简介】作为一个小白,看着别人建VPN时鼠标点的飞快,却不明所以然,那么就要学习一下VPN是怎么构成的,建VPN需要哪些参数。
【隧道篇 / SSL】(6.0) ❀ 01. 通过 SSL 访问 IPsec (上) ❀ FortiGate 防火墙
热门推荐
防火墙技术专栏
09-03 1万+
  【简介】经常有人问可不可以通过SSL VPN到达某个防火墙,再通过防火墙与防火墙之间的IPsec VPN访问另一台防火墙后的电脑。这是可以做到的!为了做到这个功能,我们先要一步一步学习怎样配置IPsec VPN。 配置环境   我们在广州有一台FortiGate 200D防火墙,在深圳有一台FortiGate 500D防火墙。每台防火墙都有自己的内网及宽带。   ① 我......
FortiGate &IPsec Troubleshooting专题培训
02-23
IPSEC配置详解 Debug 抓包分析详解
fortigate7.2.4
05-20
fortigate7.2.4
Fortigate 7.0.0 firmware fortigate 7.0.0固件
最新发布
06-26
Fortigate 7.0.0 firmware fortigate 7.0.0固件
FortiGate VM64 for VMware ESXi
04-27
New deployment of FortiGate for VMware FGT_VM64-v6.4.9-build1966-FORTINET.out.ovf.zip (64.37 MB)
(FortiGate)飞塔防火墙IPsec ***抓包诊断命令
weixin_34009794的博客
01-31 3148
① sniffer抓包确认UDP 500/4500 双方通信是否正常diagnose sniffer packet any "host 119.201.75.34 and ( port 500 or port 4500)" 4(这里IP119.201.75.34指的是对方公网IP。UDP 500 或 UDP 4500 这两个端口是IPsec ***协商协议IKE会使用的端口...
飞塔(FortiGate)配置IPSec
沉默的鹏先生
12-23 9809
1、配置IPSec 1.1、进入VPN > IPsecWizard,选择custom。输入IPSec名称。点击Next,进行下一步配置。 1.2、填写Remote Gateway IP,选择Interface,以及pre-shared key 1.3、配置Phase1 proposal的Encryption和Authentication,选择Diffie-Hellman Group...
华为防火墙IPSec对接飞塔
bigaiju7773的博客
08-21 1886
华为防火墙IPSec对接飞塔 一、飞塔端设置 1) 配置第一阶段 2) 配置第二阶段 3) 配置策略放行 二、华为防火墙USG2110-F 配置 1)配置第一阶段 2)配置第二阶段 4) 配置感兴趣流 引用接口 5) 配置NAT策略 (内网访问10.0.0.0网段 ,内网地址不转换) 6) 配置内网本地转发允许 7) 配置防火墙转发策略 8) 检测拨号外网...
【隧道篇 / IPsec】(5.6) ❀ 03. 向导快速建立点对点IPsec ❀ FortiGate 防火墙
防火墙技术专栏
09-24 6199
【简介】前面我们分析了建立IPsec需要知道哪些条件,又知道宽带分为哪些类型,下面就可以用向导来快速建立IPsec连接了。 测试环境 根据前面的学习,我们知道建立IPsec连接需要知道对方的五个参数。 如果是对方建立好了IPsec,需要我们建立对方连接,那么对方必须提供给我们五个参数:1、网关IP地址或域名;2、预共享密钥;3、第一阶......
【隧道篇 / IPsec】(7.0) ❀ 01. 利用向导快速建立IPsec安全隧道 (点对点) ❀ FortiGate 防火墙
防火墙技术专栏
04-10 4697
很多人都认为配置防火墙的IPsec VPN是一件非常复杂的工程,其实在FortiGate防火墙上进行配置,是一件无比简单的事情,因为它有很多向导把你的操作简单化了。不信?跟我来看看吧。
火兰hillstone与fortigateipsec v.p.n连接实践
d9394952的博客
12-14 1080
文章目录 参考文档: 开始配置: 一、hillstone端(服务器端) 1、配置IPSec VPN 2、网络连接:新增安全域 3、网络连接:新增隧道接口 3、配置路由:新增目的路由 4、配置策略:对端发起的访问策略(如果要双向,还要多一条本地发起的策略) 二、fortigate端(客户端) 1、配置IPSec Tunnels 2、新增IPSEC (续) (续)注意:如有多个p...
考题篇(5.4) 16. 高级IPsec ❀ FortiGate ❀ Fortinet 网络安全专家 NSE 4
防火墙技术专栏
04-11 882
什么是扩展认证(XAuth)? 管理员希望在相同的FortiGate VDOM中配置两个拨号IPsec VPN。两个VPN都必须使用预共享密钥身份验证。如何配置它们? 检查展示,它显示了一个IKE时调试的部分输出。关于输出哪些说法是正确的? 使用IP配置模式的IPsec网关可以使用什么网络设置来分配IPsec客户端? 检查展览,它显示了IPsec VPN拓扑的...
Fortinet防护墙IKEv1版本协议配置
redwingz的博客
12-03 1536
本文主要讲述Site-to-Site的IPsecurity IKEv1协议的配置以及注意事项。此网络结构又称为网络网络IPSecurity,两个网关彼此建立IPSecurity通道,将网关背后的内部网络通过IPSecurity通道安全的连接起来。 防火墙1的配置 1)打开虚拟专用网络->IPSec->IKE网页,创建IPSecurity的阶段一,远程网关地址选择...
【隧道篇 / IPsec】(5.2) ❀ 04. IPsec - 拨号宽带 to 拨号宽带 (策略模式) ❀ FortiGate 防火墙
防火墙技术专栏
09-06 7084
【简介】现在很多单位都有分公司或者分部,距离离的还比较远,但又经常需要两点之间进行安全的通迅,防火墙与防火墙之间建立IPsec可以很好满足要求。ADSL拨号宽带物美价廉,只可惜每次拨号生成的外网IP都不同,两端都是ADSL拨号宽带要建立点对点连接,就要借助动态域名了。...
FortiGate HA原理与配置详解
本文档深入探讨了FortiGate的High Availability (HA) 原理及其配置方法,针对的是FortiGate 3.x和4.x版本。HA在FortiGate中是关键的高可用性解决方案,旨在提升系统的稳定性和可靠性,通过减少维护中断和非计划故障...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值