Benutzer-Werkzeuge

Webseiten-Werkzeuge


lucom:router:vpn-lcm-fortinet-ipsec

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

lucom:router:vpn-lcm-fortinet-ipsec [2017/01/25 22:09] (aktuell)
Zeile 1: Zeile 1:
 +====== VPN-LCM-FORTINET-IPSEC ======
 +{{ :​lucom:​router:​dual-350.jpg?​nolink&​100|}}
  
 +===== Aufgabe =====
 +
 +Aufbau einer mit IPsec verschlüsselten Verbindung von einem **Lucom VPN Router** zu einer **FortiGate Virtual Appliences von Fortinet.**
 +
 +Die vorgestellte Lösung sollte auf alle Lucom Mobilfunk- und LAN-Router übertragbar sein.
 +
 +===== Konfigurationen ​ =====
 +
 +Zunächst werden die notwendigen IPsec- und Routing-Einstellungen in der FortiGate Appliences beschrieben und anschließen die passenden IPsec-Einstellungen des Lucom Mobilfunk VPN Routers. ​
 +
 +==== FortiGate Virtual Appliences Einstellungen ====
 +
 +=== 1. IPsec: Phase 1 ===
 +
 +Die Einstellungen der IPsec Phase 1 werden im Menü "VPN ->IPsec -> Auto-key"​ vorgenommen. Für diese Anleitung ist eine neue "Phase 1" anzulegen. ​
 +
 +{{:​lucom:​router:​702px-1.fortigate-phase1.png?​nolink|}}
 +
 +**Abb.1:** Phase 1 Einstellungen der FortiGate
 +
 +== Einstellungsdetails - Phase 1 ==
 +
 +  * Name: Name ist beliebig
 +  * Remote Gateway: Dialup-User (da IP unbekannt)
 +  * Local Interface: Internet-Interface der Fortigate
 +  * Mode: Main
 +  * Authentication Method: Preshared Key (muss im Lucom Router identisch eingestellt werden)
 +  * Accept this peer ID: ausgewählt (muss im Lucom Router identisch eingestellt werden)
 +  * Enable IPsec Interface Mode: sollte aktiviert sein (erleichtert die Firewall Konfiguration)
 +  * P1 Proposal: 3DES, MD5, DH5, Keylife 108000 Sekunden
 +  * X-Auth: deaktiviert
 +  * NAT Traversal: aktiviert
 +  * Keepalive: 10 Sekunden
 +  * Dead Peer Detection: deaktiviert ​
 +
 +=== 2. IPsec: Phase 2 ===
 +
 +Im Menü "VPN ->IPsec -> Auto-key",​ neue Phase 2 erstellen
 +
 +{{:​lucom:​router:​702px-2.fortigate-phase2.png?​nolink|}}
 +
 +**Abb.2:** Phase 2 Einstellungen ​
 +
 +== Einstellungsdetails - Phase 2 ==
 +
 +Phase 1: die entsprechende Phase 1 Connection auswählen
 +  * P2 Proposal: 3DES, MD5
 +  * Replay detection und PFS: deaktiviert
 +  * Keylife: 3600 Sekunden
 +  * Auto-Keep-Alive und DHCP-IPsec: deaktiviert ​
 +
 +Quick Mode Selector:
 +
 +  * Source Address: LAN Netz der Fortigate
 +  * Destination Address: LAN Netz des Lucom VPN Routers
 +
 +=== 3. Globale Firewall Policy Einstellungen ===
 +
 +Die Policy Einstellungen sind im Menü "​Firewall -> Policy -> Policy"​ vorzunehmen.
 +
 +{{:​lucom:​router:​702px-3.fortigate-policy.png?​nolink|}}
 +
 +**Abb.3:** IPsec Policy Einstellungen
 +
 +== Einstellungsdetails - Policy ==
 +
 +  * Source Interface: Lan Interface der Fortigate
 +  * Destination Interface: Namen der konfigurierten VPN Verbindung auswählen
 +
 +(Weitere Einstellungen sind in diesem Menü auf Wunsch erlaubt) ​
 +
 +=== 4. Routing Einstellungen ===
 +
 +Die Routing-Einstellungen sind im Menü "​Router -> Static -> Static Route" vorzunehmen. ​
 +
 +{{:​lucom:​router:​702px-4.fortigate-routing.png?​nolink|}}
 +
 +**Abb.4:** Routing Einstellungen der FortiGate ​
 +
 +== Einstellungsdetails - Routing ==
 +
 +  * Destination IP: LAN Netzwerk des Lucom VPN Routers
 +  * Device: Konfigurierte VPN Verbindung
 +
 +==== IPsec-Parametrisierung des Lucom Routers ====
 +
 +Die IPsec Einstellungen im im Lucom Router in Menü "​Configuration -> IPsec" vorzunehmen.
 +
 +{{:​lucom:​router:​741px-5.fortigate-ur5-ipsec.png?​nolink|}}
 +
 +**Abb.5:** IPsec-Einstellungen des Lucom Routers
 +
 +=== Einstellungsdetails - IPsec ===
 +     
 +  * Description:​ Partner Name: (bliebig)
 +  * Remote IP Address: Public IP (oder Domain Name) der Fortigate
 +  * Remote ID: gleichsetzen mit LocalID der Fortigate
 +  * Remote Subnet und Subnet Mask: LAN Adressen der Fortigate
 +  * Local ID: gleichsetzten mit RemoteID der Fortigate
 +  * Local Subnet und Subnet Mask: LAN Addresse des Lucom Routers
 +  * Key Lifetime und IKE Lifetime: gleichsetzten mit Fortigate
 +  * Nat-Traversal:​ aktivieren (**wichtig!**)
 +  * Prehared Key: gleichsetzten mit Fortigate ​
 +
 +Im Lucom Router ist es außerdem sinnvoll die DPD Optionen zu parametrisieren: ​
 +
 +  * DPD Delay: 60
 +  * DPD Timeout: 150 
 +  ​
 +
 +
 +
 +
 +
 +
 +
 +
 +
 + 
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +
 +----
 +
 +{{page>​[lucom:​router:​menue]}} ​
lucom/router/vpn-lcm-fortinet-ipsec.txt · Zuletzt geändert: 2017/01/25 22:09 (Externe Bearbeitung)