Ağ Diyagramı.
Yapılandırma:
IPsec fazları ve tünelleri oluşturun.
-
- VPN -> IPsec tünellerine gidin ve Yeni Oluştur’u seçin .
- VPN Kurulumu altında bir Ad girin .
- Şablon Türünü Özel olarak ayarlayın .
- İleri’ye tıklayın .
- Ağ altında IP Sürümünü IPv4 olarak ayarlayın .
- Uzak Ağ Geçidini Statik IP Adresine Ayarlayın .
- IP Adresi için Sophos Güvenlik Duvarı’nın WAN IP adresini girin (örneğin: 10.55.3.1).
- NAT Transversal’ı Devre Dışı olarak ayarlayın (Etkinleştirilebilir, ancak diğer tarafta da aynı olmalıdır.) ve Ölü Eş Algılama’yı İsteğe Bağlı olarak ayarlayın.
- Kimlik Doğrulama altında Yöntem’i Önceden Paylaşılan Anahtar olarak ayarlayın .
- Önceden Paylaşılan Anahtarı girin .
- IKE’de Sürüm’ü 2 olarak ayarlayın .
- Eş Seçenekleri altında , Kabul Türleri’ni Herhangi bir eş kimliği olarak ayarlayın .
Aşama 1 Parametrelerini Yapılandırın
- Şifrelemeyi AES256 ve Kimlik Doğrulamayı SHA512 olarak ayarlayın .
- Ekle’ye tıklayın ve Şifrelemeyi AES256 , Kimlik Doğrulamayı ise SHA384 olarak ayarlayın .
- Diffie-Helman Grupları için 16, 19 ve 21’i seçin .
- Anahtar Ömrü için 5400 saniye girin.Aşama 2 Parametrelerini Yapılandırın:• Aşama 2 Seçicileri altında bir Ad girin .
• Yerel Adresi Alt Ağ olarak ayarlayın ve Fortigate cihazının LAN IP adresini girin. (Örneğin: 192.168.50.0/24). • Uzak Adresi Alt Ağ olarak
ayarlayın ve XG Güvenlik Duvarının LAN IP adresini girin. (Örneğin: 192.168.62.0/24). • Gelişmiş bölümünü genişletin . • Aşama 2 Teklifi altında Şifrelemeyi AES256 ve Kimlik Doğrulamayı SHA512 olarak ayarlayın . • Ekle’yi seçin ve Şifrelemeyi AES256 ve Kimlik Doğrulamayı SHA384 olarak ayarlayın . • Tekrar Algılamayı Etkinleştir ve Mükemmel İletme Gizliliğini (PFS) Etkinleştir’i seçin. • Diffie-Hellman Grubu için 16, 19 ve 21’i seçin . • Yerel Bağlantı Noktası , Uzak Bağlantı Noktası ve Protokol için Tümü’nü seçin . • Otomatik anlaşmayı seçin . • Anahtar Ömrünü Saniye olarak ayarlayın ve Saniye olarak 3600 girin .Tamam’ı seçin .VPN Tüneli için Statik Rota Oluşturun.Ağ -> Statik Rotalar’a gidin ve Yeni Oluştur’u seçin .• Hedef için Alt Ağ’ı seçin ve XG Güvenlik Duvarının LAN IP adresini girin. (Örneğin: 192.168.50.0/24.)
• Aygıt’ı daha önce oluşturulan IPsec tüneline ayarlayın. (Örneğin: Forti-SFIKEv2.)
• Yönetimsel Mesafe için 10 girin .
• Durumu Etkin olarak ayarlayın .Tamam’ı seçin .
Güvenlik Duvarı Kuralları Oluşturun.
Politika ve Nesneler -> IPv4 Politikası’na gidin ve Yeni Oluştur’u seçin .
- Bir İsim Girin .
- Gelen Arayüzü Fortigate cihazının LAN arayüzüne ayarlayın . (Örnek: Forti-SFIKEv2.)
- Giden Arayüzü oluşturduğunuz IPsec tüneline ayarlayın . (Örnek: vlan680 (port1).)
- Kaynak , Hedef ve Hizmet için tümünü seçin .
- Zamanlamayı her zaman olarak ayarlayın .
- Benzer şekilde, XG Güvenlik Duvarı’ndan FortiGate cihazına giden trafik için başka bir güvenlik duvarı politikası oluşturun.
- Not: VPN Profilinde NAT-T kullanılmayacaksa NAT’ı kapatın .Tamam’ı seçin .Sophos XG Güvenlik Duvarı.Bir IPsec Bağlantısı Oluşturun .• Yapılandır -> VPN -> IPsec Bağlantıları’na gidin ve Ekle’yi seçin . • Genel Ayarlar
altında bir Ad girin . • IP Sürümü’nü IPv4 , Bağlantı Türü’nü Siteler Arası ve Ağ Geçidi Türünü Yalnızca Yanıtla olarak ayarlayın . • Kaydetme Sırasında Etkinleştir’i seçin . - Şifreleme altında , İlkeyi IKEv2 olarak ayarlayın .
- Kimlik Doğrulama Türünü Önceden Paylaşılan Anahtar olarak ayarlayın , Önceden Paylaşılan Anahtarı girin ve Önceden Paylaşılan Anahtarı Tekrarlayın.
- Ağ Geçidi Ayarları – Yerel Ağ Geçidi altında , Dinleme Arayüzü’nü XG Güvenlik Duvarı’nın WAN IP adresine (örneğin: PortE1.690 – 10.55.3.1) ve Yerel Alt Ağ’ı LAN olarak ayarlayın .
- Ağ Geçidi Ayarları – Uzak Ağ Geçidi altında , Ağ Geçidi Adresini FortiGate cihazının WAN IP adresine (örneğin: 10.55.4.1) ve Uzak Alt Ağ’ı Forti_LAN olarak ayarlayın .
- Gelişmiş altında , Kullanıcı Kimlik Doğrulama Modunu Yok olarak ayarlayın.
- Bir Güvenlik Duvarı Kuralı Oluşturun
- Koruma -> Güvenlik Duvarı’na gidin ve Güvenlik Duvarı Kuralı Ekle’ye tıklayın.
- Bir Kural Adı Girin .
- Kaynak Bölgeleri için LAN’ı seçin . Hedef Bölgeleri için VPN’i seçin .
- Kimlik altında Bilinen kullanıcıları eşleştir onay kutusunun işaretini kaldırın .
- Benzer şekilde VPN’den LAN’a giden trafik için bir güvenlik duvarı kuralı oluşturun.
- Güvenlik Duvarı Trafiğini Günlüğe Kaydet’i seçin .
- Kaydet’i seçin .IPsec Bağlantısını Etkinleştir.
- Yapılandır > VPN > IPsec Bağlantıları’na gidin .
- Bağlantıyı etkinleştirmek için Durum altında Etkin ve Bağlantı’yı seçin .FortiGate’de VPN durumunu doğrulayın.
- İzleme -> IPsec İzleme’ye gidin .
- Tünel detayları görüntülenir. Durum Down ise , tüneli seçin ve tüneli başlatmak için Bring Up’ı seçin.