Diese Anleitung beschreibt die notwendigen Schritte, um einen Net-to-Net IPSec VPN-Tunnel zwischen einer „FortiGate 30E“ UTM und einem „LANCOM 1611+“ Router zu konfigurieren.
Konfigurationsbeispiel
Das Diagramm ist eine einfache Darstellung des in dieser Anleitung enthaltenen Konfigurationsbeispiels. Wir erstellen eine Net-to-Net Verbindung, um die Kommunikation zwischen den beiden internen (LAN) Netzwerken zu ermöglichen.
Einrichtung FortiGate 30E
Als erstes wird mit Hilfe des Webadministration unter „VPN -> IPsec Tunnel -> Create New“ eine neue VPN Konfiguration mit den folgenden Einstellungen erstellt…
Name : SITE-B
Template Type : Custom
Im Feld „IP Address“ wird die öffentliche IP-Adresse: 192.168.2.30 des LANCOM Router eingetragen und im Feld „Interface“ das Device: wan ausgewählt.
Nun wird in das Bereich „Authentication“ ein sicheres Passwort in das Feld „Pre-Shared Key“ eingetragen.
Als nächstes erfolgt die Anpassung der „Phase 1“ Parameter. Hier wird nur der Wert für die „Key Lifetime“ auf 10800 geändert.
In den „Phase 2“ Einstellung trägt man nun die lokalen Netzwerke ein. Unter „Local Address“ das interne Netz der SITE-A und bei „Remote Address“ den Wert für die SITE-B.
Zum Abschluss auf „Advanced…“ klicken und die „Phase 2“ Einstellung, wie im nachfolgenden Bild dargestellt, anpassen. Danach die Konfiguration durch klicken auf „OK“ speichern…
Jetzt müssen noch die Netzbeziehungen und Firewall Regeln definiert werden. Als erstes legen wir eine neues Objekt für das SITE-A Netz unter „“Policy & Objects -> Addresses“ an und belegen die Felder wie folgt:
Danach noch das Objekt für das interne Netz der SITE-B:
Nun können die Firewall Regeln für den Tunnel Datenverkehr ein- und ausgehend unter „Policy & Objects -> IPv4 Policy“ definiert werden. Die Regel für den Datenstrom von der SITE-A zu SITE-B sollte so gesetzt werden…
und nun noch die Regel von SITE-B zu SITE-A…
Zum Abschluss muss nur noch eine statische Route für das Tunnel-Netz unter „Network -> Routing“ angeleget werden, welche die folgenden Einstellungen enthält:
Das war es auch schon auf der FortiGate Seite. Nun muss noch der LANCOM Router wie nachfolgend beschrieben, konfiguriert werden.
Einrichtung LANCOM 1611+
Lanconfig starten, zu „VPN -> Allgemein“ gehen und die Einstellungen wie nachfolgend dargestellt, überprüfen…
Neuen Schlüssel unter „VPN -> IKE/IPSec -> IKE-Schlüssel & Identitäten“ erstellen. Im Feld „Preshared-Key“ muss das gleiche Passwort, wie auf SITE-A eingetragen werden.
Neue Verbindungs-Parameter unter „VPN -> IKE/IPSec -> Verbindungs-Paramater“ erstellen…
Neue Verbindungs-Liste unter „VPN -> IKE/IPSec -> Verbindungs-Liste“ erstellen…
Zum Abschluss noch eine neue Route für das Tunnel-Netz unter „IP-Router -> Routing -> Routing-Tabelle“ erstellen….
Jetzt sind beide Seiten fertig eingerichtet und die Tunnel sollten sich aufbauen, sobald ein Datenaustausch zwischen den beiden Netzen erfolgt.
