Configureer beveiligde toegang met Fortigate Firewall

Downloadopties

PDF (2.1 MB)
Met Adobe Reader op diverse apparaten bekijken
ePub (2.0 MB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (1.5 MB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:2 augustus 2024

Document-id:222270

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Achtergrondinformatie

Configureren

VPN bij beveiligde toegang configureren

Tunnelgegevens

Configureer de VPN Site naar Site op Fortigate

Netwerk

Verificatie

Voorstel voor fase 1

Voorstel voor fase 2

De tunnelinterface configureren

Configureren van beleidsroute

Verifiëren

Inleiding

Dit document beschrijft hoe u Secure Access kunt configureren met Fortigate Firewall.

Voorwaarden

Vereisten

Cisco raadt kennis van de volgende onderwerpen aan:

Fortigate 7.4.x versie firewall
Beveiligde toegang
Cisco Secure-client - VPN
Cisco Secure-client - ZTNA
Clientloze ZTNA

Gebruikte componenten

De informatie in dit document is gebaseerd op:

Fortigate 7.4.x versie firewall
Beveiligde toegang
Cisco Secure-client - VPN
Cisco Secure-client - ZTNA

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

jmorenoc_0-1706967866629

Cisco heeft Secure Access ontworpen om toegang tot particuliere toepassingen te beschermen en te bieden, zowel op locatie als in de cloud. Het beschermt ook de verbinding van het netwerk met het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, die allemaal gericht zijn op het bewaren van de informatie zoals ze deze via de cloud benaderen.

Configureren

VPN bij beveiligde toegang configureren

Navigeer naar het beheerderspaneel van Secure Access.

jmorenoc_8-1706968713702

Klik op Connect > Network Connections > Network Tunnels Groups

jmorenoc_11-1706968993787

OnderNetwork Tunnel Groupsklik op + Add

jmorenoc_12-1706969034757

ConfigurerenTunnel Group Name, Regionen Device Type
Klik op de knop Next

jmorenoc_13-1706969076844

Opmerking: Kies de regio die het dichtst bij de locatie van uw firewall ligt.

Configureer deTunnel ID Formaten Passphrase
Klik op de knop Next

jmorenoc_14-1706969101197

Configureer de IP-adresbereiken of hosts die u op uw netwerk hebt geconfigureerd en u wilt het verkeer via beveiligde toegang doorgeven
Klik op de knop Save

jmorenoc_15-1706969132539

Save Nadat u op de informatie over de tunnel klikt wordt weergegeven, bewaar die informatie voor de volgende stap, Configure the VPN Site to Site on Fortigate.

Tunnelgegevens

jmorenoc_16-1706969350380

Configureer de VPN Site naar Site op Fortigate

Navigeer naar je Fortigate dashboard.

Klik op de knop VPN > IPsec Tunnels

jmorenoc_1-1706970026583

Klik op de knop Create New > IPsec Tunnels

jmorenoc_2-1706970106771

Klik opCustom, configureer een Name bestand en klik op Next.

jmorenoc_4-1706970207324

In de volgende afbeelding ziet u hoe u de instellingen voor het Network onderdeel moet configureren.

Netwerk

alt-tag-for-image

Network
- IP Version : IPv4
- Remote Gateway : Statisch IP-adres
- IP Address: Gebruik het IP-adres van dePrimary IP Datacenter IP Address,gegeven in de stap Tunnelgegevens
- Interface : Kies de WAN-interface die u wilt gebruiken om de tunnel te openen
- Local Gateway : Standaard uitschakelen
- Mode Config : Standaard uitschakelen
- NAT Traversal : Inschakelen
- Keepalive Frequency : 10
- Dead Peer Detection : Bij inactiviteit
- DPD retry count : 3
- DPD retry interval : 10
- Forward Error Correction : Vink geen vakje aan.
- Advanced...: Configureer het als de afbeelding.

Configureer nu de IKE Authentication.

Verificatie

jmorenoc_2-1707056249758

Authentication
- Method : Vooraf gedeelde sleutel als standaard
- Pre-shared Key : Gebruik de Passphrasegegeven in de stap Tunnelgegevens
IKE
- Version : Kies versie 2.

Opmerking: Secure Access ondersteunt alleen IKEv2

Configureer nu de Phase 1 Proposalinstellingen.

Voorstel voor fase 1

jmorenoc_4-1707056744014

Phase 1 Proposal
- Encryption : Kies AES256
- Authentication : Kies SHA256
- Diffie-Hellman Groups : Vink vak 19 en 20 aan
- Key Lifetime (seconds) : Standaard 86400
- Local ID : Gebruik het Primary Tunnel IDformulier dat in de stap Tunnelgegevens is aangegeven

Configureer nu de Phase 2 Proposalinstellingen.

Voorstel voor fase 2

jmorenoc_5-1707058728877

New Phase 2
- Name : Laat dit standaard (dit is afkomstig van de naam van uw VPN)
- Local Address : Standaard ingeschakeld (0.0.0.0/0.0.0.0)
- Remote Address : Laat als standaard (0.0.0.0/0.0.0.0)
Advanced
- Encryption : Kies AES128
- Authentication : Kies SHA256
- Enable Replay Detection : Standaard ingeschakeld
- Enable Perfect Forward Secrecy (PFS) : Schakel het selectievakje uit
- Local Port : Laat als standaard (ingeschakeld)
- Remote Port: Standaard ingeschakeld
- Protocol : Laat als standaard (ingeschakeld)
- Auto-negotiate : Standaard ingeschakeld (niet gemarkeerd)
- Autokey Keep Alive : Standaard ingeschakeld (niet gemarkeerd)
- Key Lifetime : Standaard laten (seconden)
- Seconds : Standaard ingeschakeld (43200)

Klik vervolgens op OK. U ziet na enkele minuten dat de VPN is opgezet met Secure Access, en u kunt doorgaan met de volgende stap, Configure the Tunnel Interface.

jmorenoc_0-1707060199635

De tunnelinterface configureren

Nadat de tunnel is gemaakt, ziet u dat u een nieuwe interface achter de poort hebt die u als WAN-interface gebruikt om met Secure Access te communiceren.

Om dat te controleren, navigeer dan naar Network > Interfaces.

jmorenoc_0-1707069145874

Breid de poort uit die u gebruikt om te communiceren met Secure Access; in dit geval, de WAN interface.

jmorenoc_1-1707069309957

Klik op uw Tunnel Interface en klik op Edit

jmorenoc_3-1707069499072

U hebt het volgende beeld dat u moet configureren

jmorenoc_4-1707069648471

Interface Configuration
IP : Configureer een niet-routeerbare IP die niet in uw netwerk aanwezig is (169.254.0.1)
Remote IP/Netmask : Configureer Remote IP als volgende IP van uw interface-IP en met een Netmasker van 30 (169.254.0.2 255.255.255.252)

Daarna klikt u op OK om de configuratie op te slaan en met de volgende stap verder te gaanConfigure Policy Route (op oorsprong gebaseerde routing).

Waarschuwing: Na dit deel, moet u het beleid van de Firewall op uw FortiGate vormen om het verkeer van uw apparaat toe te laten of toe te staan om Toegang en van Veilige Toegang tot de netwerken te beveiligen die u het verkeer wilt leiden.

Configureren van beleidsroute

Op dit punt hebt u uw VPN geconfigureerd en ingesteld voor beveiligde toegang; nu, moet u het verkeer opnieuw leiden naar Secure Access om uw verkeer of toegang tot uw privé-toepassingen achter uw FortiGate firewall te beschermen.

Naar navigeren Network > Policy Routes

jmorenoc_6-1707070544485

Het beleid configureren

jmorenoc_0-1707071341194

If Incoming traffic matches
- Incoming Interface : Kies de interface van waar u het verkeer naar beveiligde toegang wilt omleiden (herkomst van verkeer)
Source Address
- IP/Netmask : Gebruik deze optie als u alleen een subnetverbinding van een interface routeert
- Addresses : Gebruik deze optie als u het object hebt gemaakt en de bron van het verkeer afkomstig is van meerdere interfaces en meerdere subnetten
Destination Addresses
- Addresses: Kiezen all
- Protocol: Kiezen ANY
Then
- Action: Choose Forward Traffic
Outgoing Interface : Kies de tunnelinterface die u in de stap hebt aangepast en stel tunnelinterface in
Gateway Address: De configuratie van de externe IP op de stap RemoteIPNetmask configureren
Status : Ingeschakeld kiezen

OK Klik om de configuratie op te slaan, u bent nu klaar om te verifiëren of uw apparaatverkeer is omgeleid naar Secure Access.

Verifiëren

Om te controleren of het verkeer van uw machine is omgeleid naar Secure Access, hebt u twee opties: u kunt controleren op het internet en controleren op uw openbare IP, of u kunt de volgende opdracht uitvoeren met curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

De openbare waaier van waar u uw verkeer kunt zien is van:

Min Host: 151.186.176.1

Max Host :151.186.207.254

Opmerking: Deze IP's kunnen worden gewijzigd, wat betekent dat Cisco dit bereik in de toekomst waarschijnlijk zal uitbreiden.

Als u de wijziging van uw openbare IP ziet, betekent dit dat u wordt beschermd door Secure Access, en nu kunt u uw privé-toepassing configureren op het Secure Access-dashboard om toegang te krijgen tot uw toepassingen via VPNaaS of ZTNA.