[Nebula x Firewall]與Fortigate建立IPSec站到站site-to-site VPN

Zyxel_Tracy
Zyxel_Tracy 文章數: 27  Zyxel Employee
First Comment
已編輯 三月 2023 Nebula 常見問題

IPSec site-to-site VPN能讓兩端點內的區域網路進行路由繞送達成互相通行,如同將兩端合併為同一內部網路自由存取。本文將為您示範,當Zyxel防火牆為Nebula雲端模式時,如何在Nebula上與非Zyxel廠牌防火牆Fortigate設定建立IPSec VPN。


Zyxel Model: ATP200 / V5.30(ABFW.0)

Fortinet Model : Fortigate 60E / FortiOS 7.2.0 build1157

Nebula version : prod 20220628-042907

====================================================

路徑:Firewall > 站點-到-站點 VPN

依照範例首先於出向介面選擇建立IPSec 的WAN介面,選擇wan 1。

本地網路則是選擇內部需要通行的網段,如範例中應用,我們僅開啟lan2啟用VPN通行。


接著將視窗移動到下方,在此點選[+新增],建立IPSec Site-to-Site設定檔。


輸入識別名稱以及對點wan IP位址,以及對點內部網路網段及共用金鑰。


點選IPsec 策略[自訂]按鈕,進入Phase 1、2設定。



Phase 1設定

您可以在此根據對點各廠牌不同選擇相對應的IKE版本與加密、身分驗證…等設定。

依照範例中與Fortigate 60E所建立的IPSec VPN設定,請逐項比照此配置設定。


*點選[進階]顯示模式詳細內容。



Phase 2設定

您可以在此根據對點各廠牌不同選擇相對應的Phase 2 設定。

依照範例中與Fortigate 60E所建立的IPSec VPN設定,請逐項比照此配置設定,完成後按下[確定]


以上即完成與非Nebula 設備建立IPSec站到站site-to-site VPN設定。


-----------------------------------------------------------------------

驗證

當IPSec VPN建立完成後,可以路徑:Firewall > 監控 > VPN連接 ,於此檢查VPN連線狀態。

建立成功運行中的狀態如下:


點選位置[Fortigate-60E]藍色字體,將會有彈跳視窗顯示VPN流量與連線時間軸狀態,紅色為斷開區間,綠色則是連線中的區間:


若要了解詳細IPSec VPN溝通狀態,至路徑:Firewall > 監控 >事件日誌,於此可以看到IPSec VPN建立過程的資訊及內容:


評論