Nebula Firewall 與 Fortigate 建立 IPSec site to site VPN 設定教學
Zyxel Employee
前言
IPSec site-to-site VPN 允許兩端的區域網路進行路由轉發,實現兩端互通,猶如將兩端網路合併為一個內部網路,自由存取。本文將示範如何在 Nebula 雲端模式下的 ZYXEL 防火牆,與 Fortigate 防火牆建立 IPSec VPN 連線。
備註 : 本篇文章截圖畫面使用 Nebula 18.20 版本。
——————————————————————————————————————————————————————————
Nebula Firewall 設定步驟
請依照以下設定步驟,正確完成 Nebula Firewall 配置 :
步驟1 - 啟用 Nebula 站點-到-站點 VPN
請前往【整個站點 > 設定 > 防火牆 > 站點-到-站點 VPN】並依照下圖範例進行設定:
- 在「出向介面」選擇建立 IPSec 的 WAN 介面,並選擇 WAN 1。
- 在「本地網路」中,選擇需要通行的內部網段,例如範例中所示,我們僅啟用 LAN2 來建立 VPN 連線。
- 備註 : 請依據您實際環境調整設定參數。
步驟2 - 新增 非 Nebula 設備的 VPN 遠端
接著,將畫面滾動至下方,並點選「+新增」,建立 IPSec Site-to-Site 設定檔。
以下是各項參數說明:
- 名稱:用於識別 VPN 連線用途,可以自行定義。
- 公共 IP:輸入 Fortigate 的 WAN IP 位址。
- 私有子網路:輸入 Fortigate 內部網路的網段,例如 LAN 介面 IP「192.168.220.1/24」。此 IP 將用於 Nebula 防火牆進行連線狀態追蹤(預設會發送 Ping)。
- 預先共用金鑰:用於認證,兩端必須設定相同的金鑰。
步驟3 - IPSec 策略編輯
IPsec 策略參數必須完全相同才能完成 VPN 連線,因此請點選IPSec 策略「預設」按鈕,調整Phase 1、2 參數設定。
Phase 1 設定
您可以在此根據對點各廠牌不同選擇相對應的IKE版本與加密、身分驗證…等設定。
依照範例中與 Fortigate 60E 所建立的 IPSec VPN 設定,請逐項比照此配置設定。
備註 : 點選「進階」顯示模式詳細內容。
Phase 2 設定
您可以在此根據對點各廠牌不同選擇相對應的 Phase 2 設定。
依照範例中與 Fortigate 60E 所建立的 IPSec VPN 設定,請逐項比照此配置設定,完成後按下「確定」。
步驟4 - 儲存設定
最後請點選「儲存」,即完成非 Nebula 設備 VPN 設定參數。
——————————————————————————————————————————————————————————
Fortigate 60E IPSec 配置
前往【VPN > IPSec 通道】,點選「+新增」建立 VPN 設定。
將設定參數套用與 Nebula 相同參數
——————————————————————————————————————————————————————————
驗證
當IPSec VPN建立完成後,可以前往【整個站點 > 監控 > 防火牆 > VPN 連接】檢查VPN連線狀態。
建立成功運行中的狀態如下:
點選位置「Fortigate-60E」藍色字體,將會有彈跳視窗顯示 VPN 流量與連線時間軸狀態,紅色為VPN 連線中斷,綠色則是正常連線:
若要了解詳細 IPSec VPN溝通紀錄,請前往【整個站點 > 監控 > 防火牆 > 事件日誌】,即可查詢 IPSec VPN 建立過程的完整紀錄:
Fortigate 驗證
