Связка UserGate и FortiGate
Схема:
Адреса:
- IP-адрес сети за UserGate: 172.21.10.0/24.
- IP-адрес внешнего интерфейса UserGate: 91.107.67.230.
- IP-адрес туннельного интерфейса tunnel3: 203.0.113.1/24.
- IP-адрес сети за Fortigate: 10.10.1.0/24.
- IP-адрес внешнего интерфейса Fortigate: 91.107.67.228.
- IP-адрес туннельного интерфейса на Fortigate c именем туннеля UserGate: 203.0.113.2/24.
Настройка на стороне FortiGate
- Создаем новый IPsec-туннель через Template type — Custom:
![](/files/styles/default/public/digest/images/fgt1.jpg?itok=578rBfoY)
![](/files/styles/default/public/digest/images/fgt2.jpg?itok=PBprWH2-)
![](/files/styles/default/public/digest/images/fgt3.jpg?itok=LsancnkA)
![](/files/styles/default/public/digest/images/fgt4.jpg?itok=JZVciKC4)
![](/files/styles/default/public/digest/images/fgt5.jpg?itok=Ndc72LpM)
![](/files/styles/default/public/digest/images/fgt6.jpg?itok=ZsZux6bV)
В разделе Network — Interfaces присваиваем туннельному интерфейсу свободный IP-адрес из неиспользуемого диапазона — 203.0.113.2/32.
В поле Remote IP/Netmask указываем свободный адрес со стороны UserGate — 203.0.113.1/24:
![](/files/styles/default/public/digest/images/fgt7.jpg?itok=GEc1qxg6)
- Создаем правило взаимодействия между сетями. На стороне FortiGate локальной сетью будет выступать адрес loopback интерфейса с двумя IP-адресами: 172.21.10.1 и 172.21.10.100:
![](/files/styles/default/public/digest/images/fgt8.jpg?itok=MPvUTRdF)
- И вот само правило доступа с именем FGT-UserGate. Адреса интерфейсов:
- FGT-UserGate — Loopback Interface локальной сети.
- UserGate — туннельный интерфейс.
Настройка на стороне FortiGate завершена.
Настройка на стороне UserGate
- Все подготовительные настройки схожи со сценарием UserGate — CheckPoint. Ниже приведем только отличные параметры. В разделе Сеть — Интерфейсы назначаем туннельному интерфейсу tunnel3 свободный IP-адрес из неиспользуемого диапазона 203.0.113.1/24:
- В разделе VPN — Профили безопасности VPN создаем новый профиль безопасности FortiGate S2S:
![](/files/styles/default/public/digest/images/ug2.jpg?itok=2odfY3EU)
![](/files/styles/default/public/digest/images/ug3.jpg?itok=otpS3co7)
![](/files/styles/default/public/digest/images/ug4.jpg?itok=5lwD9t9u)
- В разделе VPN — Клиентские правила создаем правило FortiGate IPsec с использованием профиля безопасности, созданного на предыдущем шаге:
![](/files/styles/default/public/digest/images/ug5.jpg?itok=gtZBDQQR)
- В свойствах виртуального маршрутизатора прописываем статический маршрут в удаленную сеть за FortiGate через туннельный интерфейс tunnel3:
![](/files/styles/default/public/digest/images/ug.jpg?itok=Ot51ZvW2)
- Не забываем про правило МЭ, которое у нас уже было включено с предыдущих схем, — VPN S2S:
![](/files/styles/default/public/digest/images/ug6.jpg?itok=cyDtnYob)
На этом процесс настройки завершен.
- В разделе Диагностика и мониторинг — VPN поверим статус туннеля:
- Выполним ping и убедимся в доступности удаленной сети:
![](/files/styles/default/public/digest/images/ug9.jpg?itok=rBWxuaYw)
- Со стороны FortiGate так же сделаем ping в сторону клиентского хоста с адресом 172.21.10.100:
![](/files/styles/default/public/digest/images/ug8.jpg?itok=2G6hkbOG)
Настройка на стороне UserGate завершена.
На этом мы закончим вторую часть инструктажа. В следующей статье разберемся с настройками IPsec в NSX Edge.
Удачи!