[Info] Настройка IPSec туннеля между Huawei USG6300 и FortiGate1200D

Последний ответ мар 25, 2019 17:13:33 2069 2 3 0

Клиент обратился с просьбой помочь настроить IPSec VPN туннель между Huawei USG6300 и FortiGate1200D.

Используемое оборудование:

Huawei USG6390 Version V100R001C30SPC600

FortiGate 1200D Version V5.6.2 build1486 (GA)

Перейдем к настройке оборудования, будем мы это делать через web интерфейс.

Huawei USG:

1) Соединение у нас будет между двумя устройствами, поэтому выбираем Site-to-Site.

Задаем имя ipsec политики (в примере используем test).

Указываем внешний интерфейс, через который будет устанавливаться соединение.

IP адрес локального и удаленного устройства (в нашем примере 1.1.1.1 и 2.2.2.2 соответственно).

Указываем тип аутентификации. У нас будет использоваться Pre-Shared Key – вводим сам ключ и указываем ID локального оборудования (в нашем примере используем IP адрес в качестве ID).

ipsec_3


2) Далее указываем какой трафик, собственно, мы и будем пускать через наш туннель (в нашем примере - из локальной сети 10.8.12.0 255.255.255.0 в удаленную сеть 10.20.2.0 255.255.255.0).

3) И последний шаг – указываем параметры для обмена ключами и поднятия туннеля (данные параметры должны совпадать на обоих устройствах, иначе туннель не будет установлен).

ipsec_4


ipsec_5

 

На удаленном устройстве (в нашем случае – FortiGate 1200D) выполняем аналогичные настройки.


ipsec_6


ipsec_7


ipsec_8

 

Введем команды display ike sa и display ipsec sa для проверки туннеля:

[Huawei]display ike sa
15:53:34 2019/02/10
current ike sa number: 2
--------------------------------------------------------------------------------------------------
conn-id       peer        flag            phase     vpn
--------------------------------------------------------------------------------------------------
3003323     2.2.2.2    RD|ST|M   v1:2      public
3003322     2.2.2.2    RD|ST|M   v1:1      public


flag meaning
RD--READY ST--STAYALIVE RL--REPLACED FD--FADING TO--TIMEOUT
TD--DELETING NEG--NEGOTIATING D--DPD M--ACTIVE S--STANDBY
A—ALONE

[Huawei]display ipsec sa
15:53:44 2019/02/10
===============================
Interface: GigabitEthernet1/0/0
      path MTU: 1500
===============================

-----------------------------
IPsec policy name: "test"
sequence number: 1
mode: isakmp
vpn: public
-----------------------------
   connection id: 3003323
   rule number: 5
   encapsulation mode: tunnel
   holding time: 0d 0h 57m 46s
   tunnel local : 1.1.1.1 tunnel remote: 2.2.2.2
   flow source: 10.8.12.0/255.255.255.0 0/0
   flow destination: 10.20.2.0/255.255.255.0 0/0

   [inbound ESP SAs]
      spi: 173066359 (0xa50c877)
      vpn: public said: 0 cpuid: 0x0000
      proposal: ESP-ENCRYPT-AES ESP-AUTH-MD5
      sa remaining key duration (kilobytes/sec): 5242197/82934
      max received sequence-number: 5168
      udp encapsulation used for nat traversal: N

   [outbound ESP SAs]
      spi: 2812772363 (0xa7a7800b)
      vpn: public said: 1 cpuid: 0x0000
      proposal: ESP-ENCRYPT-AES ESP-AUTH-MD5
      sa remaining key duration (kilobytes/sec): 5238224/82934
      max sent sequence-number: 7419
      udp encapsulation used for nat traversal: N


Задача выполнена и теперь решение можно спокойно использовать для аналогичных случаев.

Если всё сделано как указано выше или аналогично, но туннель не поднимается, то перепроверьте настройки на обоих устройствах. Также причиной может являться неправльно настроенная маршрутизация между устройствами.
Если туннель поднялся, но трафик не ходит, то проверьте следующие настройки:

1) ACL

2) Security policy

3) NAT policy


У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта?Register

x
  • x

Опубликовано 2019-3-25 16:59:16 Полезно(0) Полезно(0)
Неплохо.
Есть кейсы таких стыков с Джуниперами SRX, Керио и еще несколько.
Тоже выложить, чтоли.
  • x

Опубликовано 2019-3-25 17:13:33 Полезно(0) Полезно(0)
Опубликовано пользователем spd_87 в 2019-03-25 11:59 Неплохо.Есть кейсы таких стыков с Джуниперами SRX, Керио ...
Добрый день! Конечно выкладывайте. =) Будет интересно посмотреть и сравнить настройку оборудования других вендоров.
  • x

Ответ

Отправить
Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”
Если кнопка вложения недоступна, обновите Adobe Flash Player до последней версии.

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход
Быстрый ответ Вверх