Fortigate

IDC 방화벽 장비로 Fortigate를 사용하는데 클라우드간 IPsec 터널링에 필요한 설정들을 정리 해두려고 함

 

가상 사설망(Virtual Private Network / VPN)

사용자가 사설망에 붙은 것처럼 인터넷에 액세스할 수 있도록 하는 서비스 이다.

일반적으론 인터넷 검열을 우회하는 방식으로 주로 사용하고, 업무적으로는 외부에서 사설망에 연결 할 수 있도록 하는 용도로 사용되고 있다.

 

 

IPsec VPN

Site to Site 방식으로 망과 망을 연결하는 수단으로 사용하고 있고, IPSec은 연결 설정을 위한 통신 규칙 또는 프로토콜 이다.
IP 와 sec 의 합성어로 기본 IP 전송 방식에서 암호화와 인증을 추가한 것

 

 

※ 너무 좋은 그림이 있어서 가져왔습니다

 

1. 양쪽에 하나의 shared secret을 공유
2. 1단계 Diffie-Hellman Group 방식을 통해 대칭키를 생성하는데 해당 키는 키 교환 프로세스에서 사용되고 DH gruop의 숫자는 키의 강도를 의미함 (높을 수록 강도가 강해짐)

3. 2단계는 1단계에서 생성한 대칭키를 이용해서 트래픽을 암호,복호화할 때 사용할 대칭키를 한번 더 생성하여 데이터를 안전하게 보냄 

 

사전 준비

연결을 맺고자 하는 site에서도 같은 proposal과 DH group으로 연결을 시도하고 있어야 함

 

fortigate vpn 설정

# outbound FW
config firewall policy
    edit 0
        set name "to_TEST_Outbound"
        set srcintf "lan"
        set dstintf "to_TEST"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set logtraffic all
    next
end

# inbound FW
config firewall policy
    edit 0
        set name "to_TEST_Inbound"
        set srcintf "to_TEST"
        set dstintf "lan"
        set action accept
        set srcaddr "all"
        set dstaddr "all"
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set comments ""
    next 
end

# static route
config router static
    edit 0
        set dst 172.18.0.0 255.255.0.0
        set distance 20
        set priority 2
        set device "to_TEST"
    next
end

# ipsec phase1
config vpn ipsec phase1-interface
    edit "to_TEST" 
        set interface "wan1"
        set ike-version 2
        set keylife 28800
        set peertype any
        set net-device disable
        set proposal aes128-sha1 aes256-sha256
        set dhgrp 14 2
        set nattraversal disable
        set remote-gw {ip}
        set psksecret {shared secret}   
    next
end

# ipsec phase2
config vpn ipsec phase2-interface
    edit "to_TEST"
        set phase1name "to_TEST"
        set proposal aes128-sha1 aes256-sha256
        set pfs disable
        set auto-negotiate enable
        set keylifeseconds 27000
    next
end


# create address
config firewall address
    edit "outBound"
        set subnet 1.1.1.1 255.255.255.255
    next
end

# create address group
config firewall addrgrp
    edit "outBound-group"
        set member "outBound"
    next
end