1.Mục đích bài viết
Bài viết sẽ hướng dẫn cách cấu hình IPSec VPN Site-to-Site giữa hai thiết bị tường lửa Palo Alto và Fortinet FG.
2.Sơ đồ mạng
Chi tiết sơ đồ mạng.
Site A:
- Chúng ta có đường internet được kết nối ở port 1 của thiết bị Palo Alto PA-220 với IP WAN tĩnh là 113.161.93.x bằng media converter.
- Tiếp theo là lớp mạng LAN 10.146.41.0/24 được cấu hình ở port 2 của thiết bị Palo Alto PA-220.
Site B:
- Chúng ta có đường internet được kết nối ở port WAN 1 của thiết bị tường lửa Fortinet FG 81E với IP WAN tĩnh là 203.205.26.x bằng media converter.
- Tiếp theo là lớp mạng LAN 192.168.2.0/24 được cấu hình ở port 1 của thiết bị Fortinet FG 81E.
- Tình huống cấu hình
Chúng ta sẽ thực cấu hình IPSec VPN Site-to-Site giữa hai thiết bị Palo Alto PA-220 và Fortinet FG 81E để lớp mạng LAN của cả hai site là 10.146.41.0/24 và 192.168.2.0/24 có thể kết nối được với nhau.
3.Các bước cấu hình
Trên thiết bị Fortinet FG 81E:
- Tạo VPN Tunnels
- Tạo Static Route
- Tạo Policy
Trên thiết bị Palo Alto PA-220:
- Tạo Zone
- Tạo Address Object
- Tạo Interface Tunnel
- Tạo Virtual Routers
- Tạo IKE Crypto
- Tạo IPSec Crypto
- Tạo IKE Gateways
- Tạo IPSec Tunnels
- Tạo Policy
Kiểm tra Kết quả
5. Hướng dẫn cấu hình
5.1. Trên thiết bị Fortinet FG 81E
5.1.1. Tạo VPN Tunnels
Để tạo VPN Tunnels vào VPN > IPSec Tunnels > nhấn Create New.
Bảng VPN Create Wizard hiện ra điền các thông tin cấu hình như sau:
- Name: VPN_FG_2_PA
- Template type: chọn Custom
- Nhấn Next để tiếp tục.
Chúng ta sẽ cấu hình bảng Network với các thông số sau:
- IP Version: IPv4
- Remote Gateway: Static IP Address
- IP Address: điền IP WAN của thiết bị Palo Alto PA-220 là 113.161.93.x
- Interface: chọn cổng WAN của thiết bị Fortinet dùng để thiết lập kết nối VPN. Theo sơ đồ chọn cổng WAN1
- Local Gateway: không bật
- Mode Config: bỏ check
- NAT Traversal: chọn Disable
- Dead Peer Detection: chọn Disable
Bảng Authentication:
- Method: chọn Pre-sahred Key
- Pre-shared Key: nhập mật khẩu để thiết lập kết nối VPN (lưu ý là mật khẩu này phải được đặt giống nhau trên cả 2 thiết bị Palo Alto và Fortinet).
- IKE Version: 2
Bảng Phrase 1 Proposal:
- Encryption: AES256
- Authentication: SHA256
- Diffe-Hellman Group: chọn 14
- Key Liftime (second): 5400
Bảng XAUTH:
- Type: chọn Disable
Bảng Phrase 2 Selectors:
- Local Address: Chọn Subnet và điền lớp mạng LAN 192.168.2.0/24 của Fortinet vào.
- Remote Address: Chọn Subnet và điền lớp mạng LAN 10.146.41.0/24 của Palo Alto vào.
- Nhấn Advanced… để bảng Phrase 2 Proposal hiện ra.
Bảng Phrase 2 Proposal:
- Encryption: AES128
- Authentication: SHA256
- Enable Perfect Forward Secrecy: bỏ chọn
- Key Lifetime: chọn Seconds
- Second: 3600
Nhấn OK để tạo IPSec Tunnels.
5.1.2. Tạo Static Routes
Chúng ta cần tạo một static route để định tuyến đường đi đến lớp mạng LAN của Palo Alto thông qua kết nối VPN vừa tạo cho thiết bị tường lửa Fortinet.
Để tạo vào Network > Static Routes và nhấn Create New.
Cấu hình theo các thông số sau:
- Destination: nhập lớp mạng LAN của thiết bị Palo Alto PA-220 là 10.146.41.0/24.
- Interface: chọn IPSec tunnels VPN_FG_2_PA vừa tạo.
- Status: chọn Enable.
- Nhấn OK để lưu.
5.1.3. Tạo Policy
Chúng ta cần tạo policy để cho kết nối VPN có thể truy cập vào mạng LAN của Fortinet và ngược lại.
Để tạo policy vào Policy & Objects > IPv4 Policy và nhấn Create New.
Cấu hình policy cho phép traffic từ lớp mạng LAN của Fortinet đi qua lớp mạng LAN của Sophos theo các thông số như sau:
- Name: VPN_FG_2_PA
- Incoming Interface: Floor B(đây là interface LAN 1)
- Outgoing Interface: Chọn VPN Tunnels VPN_FG_2_PA vừa tạo
- Source: Chọn VLAN_Floor B
- Destination: Chọn LAN_Palo Alto
- Service: Chọn ALL
- Action: Chọn ACCEPT
- Log Allowed Traffic: bật và chọn All Session
- Enable this policy: ON
- Nhấn OK để lưu
Cấu hình policy cho phép traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Fortinet theo các thông số như sau:
- Name: VPN_PA_2_FG
- Incoming Interface: Chọn VPN Tunnels VPN_FG_2_PA vừa tạo
- Outgoing Interface: Floor B(đây là interface LAN 1)
- Source: Chọn LAN_Palo Alto
- Destination: Chọn VLAN_Floor B
- Service: chọn ALL
- Action: Chọn ACCEPT
- Log Allowed Traffic: bật và chọn All Session
- Enable this policy: ON
- Nhấn OK để lưu
5.2 Trên thiết bị Palo Alto PA-220
5.2.1. Tạo Zone
Chúng ta cần tạo zone cho các kết nối VPN.
Để tạo vào Network > Zones.
Nhấn Add và tạo theo các thông tin sau:
- Name: VPN
- Type: Layer3
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.2. Tạo Address Object
Chúng ta sẽ tạo Address Object cho 2 lớp mạng LAN của thiết bị Palo Alto và Fortinet.
Để tạo vào Object > Addresses.
Nhấn Add và tạo theo các thông số như sau.
Palo Alto LAN:
- Name: PA_LAN
- Type: IP Netmask – 10.146.41.0/24
- Nhấn OK để lưu.
FG_LAN:
- Name: FG_LAN
- Type: IP Netmask – 192.168.2.0/24
- Nhấn OK để lưu
5.2.3. Tạo Interface Tunnel
Để tạo vào Network > Interface > Tunnel.
Nhấn Add và tạo theo các thông tin như sau:
- Interface Name: tunnel – 2
- Virtual Router: None
- Security Zone: VPN
- Nhấn OK để lưu.
5.2.4. Tạo Virtual Routers
Để tạo Virtual Routers vào Network > Virtual Routers > nhấn Add và cấu hình theo các thông tin sau.
Tab Router Settings:
- Name: VR1
- Tab General: nhấn Add và chọn các cổng vlan (cổng LAN), ethernet1/1(cổng internet) và tunnel.2(là tunnel dùng để kết nối VPN).
Tab Static Routes > IPv4:
Nhấn Add để thêm static routes và điền vào các thông tin sau:
- Name: VPN_PA_2_FG
- Destination: FG_LAN
- Interface: tunnel.2
- Nhấn OK 2 lần để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.5. Tạo IKE Crypto
Chúng ta sẽ tạo IKE Crypto tức Phrase 1 cho kết nối VPN.
Để tạo vào Network > IKE Crypto nhấn Add và tạo theo các thông tin sau:
- Name: VPN_PA_2_FG
- DH Group: group14
- Encryption: aes-256-cbc
- Authentication: sha256
- Key Lifetime: Seconds – 5600
- Nhấn OK Để lưu
5.2.6. Tạo IPSec Crypto
Để tạo IPSec Crypto vào Network > IPSec Crypto và nhấn Add.
Cấu hình theo các thông số sau:
- Name: VPN_PA_2_FG
- IPSec Protocol: ESP
- Encryption: aes-128-cbc
- Authentication: sha256
- DH Group: no-pfs
- Lifetime: Seconds – 3600
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.7. Tạo IKE Gateways
Để tao vào Network > IKE Gateways và nhấn Add.
Cấu hình theo các thông số sau
Bảng General:
- Name: VPN_PA_2_FG
- Version: IKEv2 only mode
- Address Type: IPv4
- Interface: ethernet1/1 (cổng WAN của Palo Alto)
- Local IP Address: None
- Peer Address: 203.205.35.x
- Authentication: Pre-shared Key
- Pre-shared key: nhập mật khẩu kết nối (mật khẩu này phải giống với mật khẩu đã đặt tên Fortinet)
- Confirm Pre-shared key: nhập lại mật khẩu kết nối.
Bảng Advanced Options:
- IKE Crypto Profile: VPN_PA_2_FG
- Nhấn OK để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.8. Tạo IPSec Tunnels
Giờ chúng ta sẽ bắt đầu tạo kết nối VPN với thiết bị Fortinet.
Để tạo vào Network > IPSec Tunnels và nhấn Add.
Tạo với các thông tin như sau.
Tab General:
- Name: VPN_PA_2_FG_Tunnel
- Tunnel Interface: tunnel.2
- Type: Auto Key
- Address Type: IPv4
- IKE Gateways: VPN_PA_2_FG
- IPSec Crypto Profile: VPN_PA_2_FG
Tab Proxy IDs:
Nhấn Add và cấu hình các thông tin sau:
- Proxy ID: Peer-1
- Local: 10.146.41.0/24
- Remote: 192.168.2.0/24
- Protocol: Any
- Nhấn OK 2 lần để lưu.
Nhấn Commit và OK để lưu các thay đổi cấu hình.
5.2.9 Tạo Policy
Chúng ta cần tạo policy cho phép các traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Fortinet và ngược lại.
Để tạo policy vào Policies > Security và nhấn Add.
Tạo policy cho phép traffic từ lớp mạng LAN của Palo Alto đi qua lớp mạng LAN của Fortinet với các thông tin như sau:
Tab General:
- Name: VPN_PA_2_FG
- Rule Type: universal (default)
Tab Source:
- Source Zone: nhấn Add và chọn Trust-Layer3 (Đây là zone của lớp LAN)
- Source Address: nhấn Add và chọn PA_LAN (PA_LAN là Address Object mà chúng ta đã tạo trước đó)
Tab Destination:
- Destination Zone: VPN
- Destination Address: FG-LAN (đây là Address Object đã tạo lúc đầu)
Tab Action:
- Action: chọn Allow để cho phép.
- Nhấn OK để lưu.
Tiếp theo chúng ta sẽ nhấn Add và tạo policy cho phép các traffic đi từ lớp mạng LAN của Fortinet sang lớp mạng LAN của Palo Alto với các thông tin sau:
Tab General:
- Name: VPN_FG_2_PA
- Rule Type: universal (default)
Tab Source:
- Source Zone: nhấn Add và chọn VPN
- Source Address: nhấn Add và chọn FG_LAN (FG_LAN là Address Object mà chúng ta đã tạo trước đó)
Tab Destination:
- Destination Zone: Trust-Layer3 (Zone của lớp mạng LAN)
- Destination Address: PA-LAN (đây là Address Object đã tạo lúc đầu)
Tab Action:
- Action: chọn Allow để cho phép.
- Nhấn OK để lưu.
5.3. Kiểm tra kết quả
Để kiểm tra kết quả trên thiết bị Palo Alto chúng ta vào Network > IPSec Tunnels.
Chúng ta sẽ thấy 2 chấm trạng thái ở tunnel và IKE Gateways màu xanh lá tức là kết nối VPN đã thiết lập thành công.
Chuyển sang thiết bị Fortinet các bạn có thể check kết VPN thành công hay chưa bằng cách vào Monitor > IPSec Monitor.
Các bạn sẽ thấy kết nối VPN đã được thiết lập và đã có lưu lượng Incoming Data và Outgoing Data.