Hướng dẫn cấu hình IPsec VPN giữa AWS và Fortinet Firewall

1. Mc đích bài viết

Trong bài viết này thegioifirewall sẽ hướng dẫn các bạn cách cấu hình IPSec VPN Site to site giữa thiết bị Firewall Fortinet với AWS.

2. Sơ đồ mng

Chi tiết sơ đồ mạng:

Fortinet Firewall:

  • Đường truyền internet được kết nối tại wan1 của thiết bị Fortinet Firewall với IP 115.78.x.x.
  • Mạng LAN của thiết bị Fortinet Firewall được cấu hình tại Port 2 với IP 10.10.8.0/23 và đã cấu hình DHCP để cấp phát cho các thiết bị kết nối tới nó.

AWS:

  • AWS có IP WAN là 3.137.101.133.
  • Trong mạng LAN có Linux server với IP 172.31.42.255/20.

3. Tình hung cu hình

Dựa theo sơ đồ trên chúng ta sẽ cấu hình IPSec VPN Site to site giữa Fortinet Firewall và AWS để cả 2 mạng LAN của 2 bên có thể giao tiếp với nhau.

4. Các bước cu hình

AWS:

  • Tạo AWS Customer Gateway.
  • Tạo Virtual Private Gateway.
  • Tạo Site-to-site VPN connection.
  • Tạo route.
  • Tải xuống file cấu hình VPN và tổng hợp các thông tin cần thiết.

Fortinet Firewall:

  • Tạo profile cho Local và Remote subnet.
  • Tạo VPN tunnels.
  • Tạo Static Routes.
  • Tạo Policy.

Kiểm tra kết quả.

5. Hướng dn cu hình.

5.1. AWS.

5.1.1. To AWS Customer Gateway

Đăng nhập vào trang AWS Portal với tài khoản quản trị.

Nhấn vào Services và chọn VPC.

Chọn VPC của bạn tại Filter by VPC, đây là VPC bạn sẽ dùng để cấu hình IPSec VPN.

Đi đến VIRTUAL PRIVATE NETWORK (VPN) > Customer Gateways > Nhấn Create Customer Gateway.

Tạo Customer Gateways theo các thông số sau:

  • Name: Fortinet Firewall.
  • Routing: Static.
  • IP Address: nhập vào IP WAN của Fortinet là 115.78.x.x.
  • Nhấn Create Customer Gateway để tạo.

5.1.2. To Virtual Private Gateway

Đến VIRTUAL PRIVATE NETWORK > Virtual Private Gateways > Nhấn Create Virtual Private Gateway.

Tạo Virtual Private Gateway với các thông số sau:

  • Name tag: VPG-FortinetComunity.
  • ASN: Amazon default ASN.
  • Nhấn Create Virtual Private Gateway để tạo.

Tiếp theo chúng ta sẽ Add Virtual Private Gateways vừa tạo vào VPC.

Để Add chọn Virtual Private Gateways vừa tạo > nhấn Action > Attach to VPC.

Chọn VPC mà chúng ta đã filter tại bước tạo Customer Gateways và nhấn Yes, Attach để hoàn thành.

Virtual Private Network đã được thêm vào VPC thành công.

5.1.3. To Site-to-site VPN Connection.

Để tạo vào VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connection > nhấn Create VPN Connection.

Tạo với các thông tin sau:

  • Name tag: S2S-AWS-to-Fortinet.
  • Target Gateway Type: chọn Virtual Private Gateway.
  • Virtual Private Gateway *: chọn Virtual Private Gateways vừa tạo ở bước trên.
  • Customer Gateway: chọn Existing.
  • Customer Gateway ID *: chọn Customer Gateway vừa tạo ở bước trên.
  • Routing Option: Static.
  • Static IP Prefixes: nhập lớp mạng LAN của Fortinet là 10.10.8.0/23.
  • Local IPv4 Network Cidr: nhập 10.10.8.0/23.
  • Remote IPv4 Network Cidr: nhập lớp mạng local của AWS là 172.31.32.0/20.
  • Nhấn Create VPN Connection.

5.1.4. To route

Chúng ta cần tạo static route để route lớp mạng của AWS thông qua Virtual Gateway.

Để tạo vào VIRTUAL PRIVATE CLOUD > Route Tables > tích chọn route tables đang có > vào Route tab > nhấn Edit Route > nhấn Add route.

Add với các thông số sau:

  • Destination: 10.10.8.0/23.
  • Target: chọn Virtual Gateway vừa tạo.
  • Nhấn Save changes.

5.1.5. Ti xung file cu hình VPN và tng hp các thông tin cn thiết.

Sau khi tạo VPN Connection chúng ta sẽ tích chọn VPN Connection vừa tạo và nhấn Download Configuration.

Chọn các thông tin như sau để download file cấu hình:

  • Vendor: Generic.
  • Platform: Generic.
  • Software: Vendor Agnostic.
  • Ike Version: ikev2.

Chúng ta bật file cấu hình vừa download về chúng ta sẽ có các thông tin như sau.

Phase 1 và Phase 2 của kết nối IPSec.

Phase 1:

Phase 2:

Thông tin về IP WAN của AWS và Fortinet.

  • IP WAN AWS: 3.137.101.133.
  • IP WAN Fortinet: 115.78.x.x.

5.2.Fortinet Firewall

5.2.1.Tạo profile cho Local và Remote subnet

Chúng ta sẽ thực hiện tạo profile cho Local và Remote subnet.

Để tạo vào Policy & Objects > Addresses > nhấn Create New > Address.

Tạo profile cho Remote subnet với các thông số sau:

  • Name: LAN_Fortinet.
  • Type: Subnet.
  • IP/Netmask: 10.10.8.0/23.
  • Interface: any.
  • Nhấn OK để lưu.

Tương tự các bước trên chúng ta sẽ tạo profile cho Local subnet theo các thông số sau:

  • Name: LAN_AWS.
  • Type: Subnet.
  • IP/Netmask: 172.31.32.0/20.
  • Interface: any.

Nhấn OK để lưu.

5.3.2.To VPN Tunnels

Để tạo VPN Tunnels vào VPN > IPSec Tunnels > nhấn Create New.

Bảng VPN Create Wizard hiện ra điền các thông tin cấu hình như sau:

  • Name: VPN_FG_to_AWS
  • Template type: chọn Custom
  • Nhấn Next để tiếp tục.

Chúng ta sẽ cấu hình bảng Network với các thông số sau:

  • IP Version: IPv4
  • Remote Gateway: Static IP Address
  • IP Address: điền IP WAN của AWS là 3.137.101.133.
  • Interface: chọn cổng WAN của thiết bị Fortinet dùng để thiết lập kết nối VPN. Theo sơ đồ chọn cổng wan1.
  • Local Gateway: không bật
  • Mode Config: bỏ check
  • NAT Traversal: chọn Disable
  • Dead Peer Detection: chọn Disable

Bảng Authentication:

  • Method: chọn Pre-sahred Key
  • Pre-shared Key: nhập mật khẩu để thiết lập kết nối VPN (thông tin preshared-key được lưu tại Phase 1 của file cấu hình VPN download về từ AWS).
  • IKE Version: 2

Bảng Phrase 1 Proposal: nhập vào các thông tin phase1 trong file cấu hình tải từ AWS.

  • Encryption: AES128
  • Authentication: SHA1
  • Diffe-Hellman Group: chọn 2
  • Key Liftime (second): 28800

Bảng Phrase 2 Selectors:

  • Local Address: Chọn Subnet và điền lớp mạng LAN 10.10.8.0/23 của Fortinet vào.
  • Remote Address: Chọn Subnet và điền lớp mạng LAN 172.31.32.0/20 của AWS vào.

Bảng New Phase 2:

  • Encryption: AES128
  • Authentication: SHA1
  • Enable Perfect Forward Secrecy: tích chọn và chọn Group 2.
  • Key Lifetime: chọn Seconds
  • Second: 3600

Nhấn OK để tạo IPSec Tunnels.

5.3.3.To Static Routes

Chúng ta cần tạo một static route để định tuyến đường đi đến lớp mạng LAN của AWS thông qua kết nối VPN vừa tạo cho thiết bị tường lửa Fortinet.

Để tạo vào Network > Static Routes và nhấn Create New.

Cấu hình theo các thông số sau:

  • Destination: nhập lớp mạng LAN của AWS là 172.31.32.0/20.
  • Interface: chọn IPSec tunnels VPN_FG_2_AWS vừa tạo.
  • Status: chọn Enable.
  • Nhấn OK để lưu.

5.3.4.To Policy

Chúng ta cần tạo policy để cho kết nối VPN có thể truy cập vào mạng LAN của Fortinet và ngược lại.

Để tạo policy vào Policy & Objects > IPv4 Policy và nhấn Create New.

Cấu hình policy cho phép traffic từ lớp mạng LAN của Fortinet đi qua lớp mạng LAN của AWS theo các thông số như sau:

  • Name: LAN_TO_AWS
  • Incoming Interface: chọn VLAN 2(VLAN2).
  • Outgoing Interface: Chọn VPN Tunnels VPN_FG_2_AWS vừa tạo
  • Source: Chọn profile LAN_Fortinet
  • Destination: Chọn profile LAN_AWS
  • Service: Chọn ALL
  • Action: Chọn ACCEPT
  • Log Allowed Traffic: bật và chọn All Session
  • Enable this policy: ON
  • Nhấn OK để lưu

Cấu hình policy cho phép traffic từ lớp mạng LAN của AWS đi qua lớp mạng LAN của Fortinet theo các thông số như sau:

  • Name: AWS_TO_LAN
  • Incoming Interface: Chọn VPN Tunnels VPN_FG_2_AWS vừa tạo
  • Outgoing Interface: Chọn VLAN 2(VLAN2)
  • Source: Chọn profile LAN_AWS
  • Destination: Chọn LAN_Fortinet
  • Service: chọn ALL
  • Action: Chọn ACCEPT
  • Log Allowed Traffic: bật và chọn All Session
  • Enable this policy: ON
  • Nhấn OK để lưu

5.4.Kim tra kết qu.

Trên thiết bị Fortinet để kiểm tra xem tunnel đã chạy chưa vào VPN > IPsec Tunnels > nhấn vào tên của tunnels vừa tạo.

Như hình các bạn có thể thấy tunnel đã UP.

Trên AWS để kiểm tra trạng thái tunnel vào VPC > VIRTUAL PRIVATE NETWORK (VPN) > Site-to-Site VPN Connections > chọn tunnel vừa tạo > nhấn vào tab Tunnel Details.

Như các bạn thấy là tunnels với IP WAN là 3.137.101.133 đã UP.

Thegioifirewall sẽ dùng máy chủ Linux tại AWS để ping đến cổng LAN của Fortinet firewall để kiểm tra xem là kết nối VPN này hoạt động hay không.

Kết quả là ping thành công đến cổng LAN của Fortinet.

0 0 đánh giá
Đánh giá bài viết
Theo dõi
Thông báo của
guest
0 Góp ý
Cũ nhất
Mới nhất Được bỏ phiếu nhiều nhất
Phản hồi nội tuyến
Xem tất cả bình luận