Хорошо

[Info] Настройка IPSec туннеля между Huawei USG6300 и FortiGate1200D

Последний ответ мар 25, 2019 17:13:33 2632 2 3 0

[Info] Настройка IPSec туннеля между Huawei USG6300 и FortiGate1200D


Клиент обратился с просьбой помочь настроить IPSec VPN туннель между Huawei USG6300 и FortiGate1200D.


Используемое оборудование:


Huawei USG6390 Version V100R001C30SPC600


FortiGate 1200D Version V5.6.2 build1486 (GA)


Настройка оборудования

Перейдем к настройке оборудования, будем мы это делать через web интерфейс.


Huawei USG:


1) Соединение у нас будет между двумя устройствами, поэтому выбираем Site-to-Site.


Задаем имя ipsec политики (в примере используем test) (рисунок 1).


Указываем внешний интерфейс, через который будет устанавливаться соединение.


IP адрес локального и удаленного устройства (в нашем примере 1.1.1.1и 2.2.2.2 соответственно).


Указываем тип аутентификации. У нас будет использоваться Pre-Shared Key – вводим сам ключ и указываем ID локального оборудования (в нашем примере используем IP адрес в качестве ID).


ipsec_3

Рисунок 1. Test, site-to-site


2) Далее указываем какой трафик, собственно, мы и будем пускать через наш туннель (в нашем примере - из локальной сети 10.8.12.0 255.255.255.0 в удаленную сеть 10.20.2.0 255.255.255.0) (рисунок 2).


3) И последний шаг – указываем параметры для обмена ключами и поднятия туннеля (данные параметры должны совпадать на обоих устройствах, иначе туннель не будет установлен; Рисунок 3).


ipsec_4

Рисунок 2. Трафик


ipsec_5

Рисунок 3. Параметры обмена ключами


На удаленном устройстве (в нашем случае – FortiGate 1200D) выполняем аналогичные настройки(Рисунок 4а, 4б, 4в).


ipsec_6

Рисунок 4а. Настройки FortiGate


ipsec_7

Рисунок 4б. Настройки FortiGate


ipsec_8

 Рисунок 4в. Настройки FortiGate


Введем команды display ike sa и display ipsec sa для проверки туннеля:


[Huawei]display ike sa
15:53:34  2019/02/10
current ike sa number: 2
--------------------------------------------------------------------------------------------------
conn-id       peer        flag            phase     vpn
--------------------------------------------------------------------------------------------------
3003323     2.2.2.2    RD|ST|M   v1:2      public
3003322     2.2.2.2    RD|ST|M   v1:1      public


 flag meaning
 RD--READY      ST--STAYALIVE     RL--REPLACED    FD--FADING    TO--TIMEOUT
 TD--DELETING   NEG--NEGOTIATING  D--DPD          M--ACTIVE     S--STANDBY
 A—ALONE

[Huawei]display ipsec sa
15:53:44  2019/02/10
===============================
Interface: GigabitEthernet1/0/0
      path MTU: 1500
===============================

 -----------------------------
 IPsec policy name: "test"
 sequence number: 1
 mode: isakmp
 vpn: public
 -----------------------------
   connection id: 3003323
   rule number: 5
   encapsulation mode: tunnel
   holding time: 0d 0h 57m 46s
   tunnel local : 1.1.1.1   tunnel remote: 2.2.2.2
   flow      source: 10.8.12.0/255.255.255.0 0/0
   flow destination: 10.20.2.0/255.255.255.0 0/0

   [inbound ESP SAs]
      spi: 173066359 (0xa50c877)
      vpn: public  said: 0  cpuid: 0x0000
      proposal: ESP-ENCRYPT-AES ESP-AUTH-MD5
      sa remaining key duration (kilobytes/sec): 5242197/82934
      max received sequence-number: 5168
      udp encapsulation used for nat traversal: N

   [outbound ESP SAs]
      spi: 2812772363 (0xa7a7800b)
      vpn: public  said: 1  cpuid: 0x0000
      proposal: ESP-ENCRYPT-AES ESP-AUTH-MD5
      sa remaining key duration (kilobytes/sec): 5238224/82934
      max sent sequence-number: 7419
      udp encapsulation used for nat traversal: N


Задача выполнена и теперь решение можно спокойно использовать для аналогичных случаев.

Если всё сделано как указано выше или аналогично, но туннель не поднимается, то перепроверьте настройки на обоих устройствах. Также причиной может являться неправльно настроенная маршрутизация между устройствами.
Если туннель поднялся, но трафик не ходит, то проверьте следующие настройки:


1) ACL


2) Security policy


3) NAT policy



У статьи есть другие ресурсы

Требуется войти для загрузки или просмотра. Нет аккаунта? Register

x
  • x

spd_87
Опубликовано 2019-3-25 16:59:16 Полезно(0) Полезно(0)
Неплохо.
Есть кейсы таких стыков с Джуниперами SRX, Керио и еще несколько.
Тоже выложить, чтоли.
Развернуть
  • x

user_3299877
Опубликовано 2019-3-25 17:13:33 Полезно(0) Полезно(0)
Опубликовано пользователем spd_87 в 2019-03-25 11:59 Неплохо.Есть кейсы таких стыков с Джуниперами SRX, Керио ...
Добрый день! Конечно выкладывайте. =) Будет интересно посмотреть и сравнить настройку оборудования других вендоров.
Развернуть
  • x

Комментарий

Выполните вход в систему, чтобы ответить на пост. Вход | Регистрация
Отправить

Внимание! В целях защиты правовых интересов Вас, сообщества и третьих лиц, не публикуйте любой материал, содержащий политические высказывания, порнографию, упоминание азартных игр, употребление наркотиков, а также материал, нарушающий коммерческую тайну или содержащий персональные данные пользователей. Также не предоставляйте данные от вашей учетной записи. Вы будете нести ответственность за все действия, выполняемые под вашим аккаунтом. Подробная информация: “Политика конфиденциальности..”

My Followers

Авторизуйтесь и пользуйтесь всеми преимуществами участника!

Вход

Huawei ICT Club
Huawei ICT Club
Заблокировать
Вы уверены, что хотите заблокировать этого пользователя?
Пользователи из вашего черного списка не могут комментировать ваши посты, не могут упоминать вас, не могут отправлять личные сообщения.
Напоминание
Пожалуйста, привяжите свой мобильный номер чтобы получить бонус за приглашение.