创建Vyatta和FortiGate间站点IPsecVPN连接

推荐编辑

文章教您如何创建网站对网站协议安全
虚拟专用网络VPNVyatta路由器连接
华体会联盟hthFortiGate使用动态域名系统
名中名IPsecVPN介于两个端点之间通常需要a
静态互联网协议地址然而,Vyatta服务器
应用程序有选项配置dNS名称配置
VPN系统

华体会联盟hth下表显示左侧为点A
路由器应用程序右侧
动态IP地址DDNS名称

A点(Vyatta路由器)	B点(FortGate带动态IP地址和DDNS名称)
设备化华体会联盟hth:Vyatta路由器拉克空间应用 eth0公有IP eth1101.81.200.XXX	设备化宿防火墙万一动态IPddnsforti.fortiddns.com 内部1921681.0/24(局域网子网)

成功建立网站IPsecVPN通路
Vyatta和FortiGate间可点Vyatta路由器私有IP
地址(例如10.181.20.XXX)取自内部IP地址
168.1.7

FortiGate帮助创建ddNS名学习配置ddNS
FortiGate名下见如何搭建FortiGate设备DDNS.

步骤1:配置Vyatta路由器应用

使用下列步骤配置Vyatta路由器
实用程序 :

Vyatta服务器登录时使用安全shell
实例如下:

$ssh vyatta@cloud-server-09 vyatta@cloud-server-09:~$ show interfaces ethernet                        //Get interface IP details $configure                                                                                         //Move to configuration mode vyatta@cloud-server-09# set vpn ipsec ipsec-interfaces interface eth0 [edit] vyatta@cloud-server-09# show vpn ipsec ipsec-interfaces +interface eth0 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 encryption aes256 vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 1 hash sha1 vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 encryption aes128 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS proposal 2 hash sha1 [edit] vyatta@cloud-server-09# set vpn ipsec ike-group IKE-RS lifetime 3600 vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 encryption aes256 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 1 hash sha1 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 encryption 3des [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS proposal 2 hash md5 [edit] vyatta@cloud-server-09# set vpn ipsec esp-group ESP-RS lifetime 3600 [edit]

配置IPsec连接密钥DDNS设置
实例如下:

vyatta@cloud-server-09# set vpn ipsec site-to-site peer forti.fortiddns.com authentication mode pre-shared-secret       // Replace forti.fortiddns.com with your DDNS name [edit] vyatta@cloud-server-09# edit vpn ipsec site-to-site peer forti.fortiddns.com [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set authentication pre-shared-secret test_test_111               // Use the same in key at Fortigate end [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set default-esp-group ESP-RS [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set ike-group IKE-RS [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set local-address 134.213.XX.XX                                         // Public IP of the Vyatta router appliance [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set tunnel 1 local prefix 10.181.XX.XX/19                           // Vyatta  Private subnet IP [edit vpn ipsec site-to-site peer forti.fortiddns.com] vyatta@cloud-server-09# set tunnel 1 remote prefix 192.168.1.0/24                          // LAN subnet behind Fortigate vyatta@cloud-server-09# top vyatta@cloud-server-09# commit  vyatta@cloud-server-09# show vpn ipsec site-to-site peer  // To view the IPsec configurations

步骤2:配置FortiGate防火墙IPsecVPN

使用下列步骤配置FortiGate防火墙IPsecVPN:

登录FortiGate防火墙行政用户
选择VPN > IPsec > 隧道.
内名称字段输入RSVPN.
选择静态IP地址并输入Vyatta公共IP地址
路由器应用IP地址列内
内验证段选择预分享密钥并输入
键像测试111.预分享密钥Vyatta
福特盖特
确保互联网密钥交换版IKE版本)是一号
并模式化设为主控.
您必须使用下列加密和设置:
- 高级加密标准128
  安全哈希算法1
- AES256认证集
- 三维DES认证集
  算法5
还必须使用下列设置:
- difie-Hellman集团145和2
- 密钥存续3600秒
上头本地地址表示局域网地址上头远程地址华府市
Vyatta专用子网IP使用下列加密
设置 :
- AES128认证集SHA1
- AES256认证集
- 3DES认证集
还必须使用下列设置:
- DH集团145和2
- 密钥存取3600秒
选择网络并添加静态路线10.111.192.0/19高山
微信子网
添加防火墙策略允许两个私有子网间通信
最后选择VPN>监控IPsec监控并验证
状态显示为上传.

更新 29天前