Standortkopplung FortiGate 30E mit LANCOM 1611+

Standortkopplung FortiGate 30E mit LANCOM 1611+

Diese Anleitung beschreibt die notwendigen Schritte, um einen Net-to-Net IPSec VPN-Tunnel zwischen einer „FortiGate 30E“ UTM und einem „LANCOM 1611+“ Router zu konfigurieren.

Konfigurationsbeispiel

Das Diagramm ist eine einfache Darstellung des in dieser Anleitung enthaltenen Konfigurationsbeispiels. Wir erstellen eine Net-to-Net Verbindung, um die Kommunikation zwischen den beiden internen (LAN) Netzwerken zu ermöglichen.

fg30e-to-lancom1611_018.png

Einrichtung FortiGate 30E

Als erstes wird mit Hilfe des Webadministration unter „VPN -> IPsec Tunnel -> Create New“ eine neue VPN Konfiguration mit den folgenden Einstellungen erstellt…

Name          : SITE-B
Template Type : Custom

Im Feld „IP Address“ wird die öffentliche IP-Adresse: 192.168.2.30 des LANCOM Router eingetragen und im Feld „Interface“ das Device: wan ausgewählt.

fg30e-to-lancom1611_001.png

Nun wird in das Bereich „Authentication“ ein sicheres Passwort in das Feld „Pre-Shared Key“ eingetragen.

fg30e-to-lancom1611_002.png

Als nächstes erfolgt die Anpassung der „Phase 1“ Parameter. Hier wird nur der Wert für die „Key Lifetime“ auf 10800 geändert.

fg30e-to-lancom1611_003.png

In den „Phase 2“ Einstellung trägt man nun die lokalen Netzwerke ein. Unter „Local Address“ das interne Netz der SITE-A und bei „Remote Address“ den Wert für die SITE-B.

fg30e-to-lancom1611_004.png

Zum Abschluss auf „Advanced…“ klicken und die „Phase 2“ Einstellung, wie im nachfolgenden Bild dargestellt, anpassen. Danach die Konfiguration durch klicken auf „OK“ speichern…

fg30e-to-lancom1611_005.png

Jetzt müssen noch die Netzbeziehungen und Firewall Regeln definiert werden. Als erstes legen wir eine neues Objekt für das SITE-A Netz unter „“Policy & Objects -> Addresses“ an und belegen die Felder wie folgt:

fg30e-to-lancom1611_006.png

Danach noch das Objekt für das interne Netz der SITE-B:

fg30e-to-lancom1611_007.png

Nun können die Firewall Regeln für den Tunnel Datenverkehr ein- und ausgehend unter „Policy & Objects -> IPv4 Policy“ definiert werden. Die Regel für den Datenstrom von der SITE-A zu SITE-B sollte so gesetzt werden…

fg30e-to-lancom1611_008.png

und nun noch die Regel von SITE-B zu SITE-A…

fg30e-to-lancom1611_009.png

Zum Abschluss muss nur noch eine statische Route für das Tunnel-Netz unter „Network -> Routing“ angeleget werden, welche die folgenden Einstellungen enthält:

fg30e-to-lancom1611_010.png

Das war es auch schon auf der FortiGate Seite. Nun muss noch der LANCOM Router wie nachfolgend beschrieben, konfiguriert werden.

Einrichtung LANCOM 1611+

Lanconfig starten, zu „VPN -> Allgemein“ gehen und die Einstellungen wie nachfolgend dargestellt, überprüfen…

fg30e-to-lancom1611_011.png

Neuen Schlüssel unter „VPN -> IKE/IPSec -> IKE-Schlüssel & Identitäten“ erstellen. Im Feld „Preshared-Key“ muss das gleiche Passwort, wie auf SITE-A eingetragen werden.

fg30e-to-lancom1611_012.png

Neue Verbindungs-Parameter unter „VPN -> IKE/IPSec -> Verbindungs-Paramater“ erstellen…

fg30e-to-lancom1611_013.png

Neue Verbindungs-Liste unter „VPN -> IKE/IPSec -> Verbindungs-Liste“ erstellen…

fg30e-to-lancom1611_014.png

Zum Abschluss noch eine neue Route für das Tunnel-Netz unter „IP-Router -> Routing -> Routing-Tabelle“ erstellen….

fg30e-to-lancom1611_015.png

Jetzt sind beide Seiten fertig eingerichtet und die Tunnel sollten sich aufbauen, sobald ein Datenaustausch zwischen den beiden Netzen erfolgt.

Published by

Ralf Kirchner

Ralf Kirchner

beschäftigt sich mit Open-Source-Software, Linux, Windows und allen anderen Bereichen der Computertechnologie.