站長新書 站長開講 首頁 最新文章 站長著作及審校 FreeBSD 筆記 Linux 筆記 Windows 筆記 虛擬化筆記 網管人雜誌 遊山玩水 關於本站
站長新書 VMware vSphere ICM 團購開跑了!!

Juniper SSG 與 Fortigate 建立 Site to Site VPN 實作筆記

UTM 設備及網路資訊

採用 Fortigate 110C 與 Juniper SSG 140 建立 Site to Site VPN

Fortigate 110C

Juniper SSG 140

Fortigate 110C VPN 設定

建立 IPSec Phase1

切換至路徑 【VPN >> IPsec >> Auto Key(IKE) >> Create Phase 1】 建立 IPSec Phase1 資訊:

建立 IPSec Phase2

切換至路徑 【VPN >> IPsec >> Auto Key(IKE) >> Create Phase 2】 建立 IPSec Phase2 資訊:

建立二端 LAN 的 IP 位址資訊

切換至路徑 【Firewall >> Address >> Address >> Create New】 建立 Fortigate 及 Juniper LAN User 的IP 網段資訊,以便屆時簡化 Firewall Rules 設定。

Fortigate 110C

Juniper SSG 140

增加 VPN 資訊至 Firewall Rules

新增 Outgoing / Incoming 的 Site to Site VPN 規則至 Firewall Rules 中,切換至路徑【Firewall >> Policy >> Policy >> Create New >> Policy】進行設定:

Outgoing Firewall Rules 資訊: switch -> To_SSG_Phase1

Incoming Firewall Rules 資訊: To_SSG_Phase1 -> switch

新增 Static Route

新增 Static Route 使 Fortigate LAN User 的封包知道往 Juniper LAN User 的封包要往 To_SSG_Phase1 介面送,切換至路徑【Router >> Static >> Static Route >> Create New】進行設定:

Juniper SSG 140 VPN 設定

建立 Tunnel Interface

切換至路徑 【Network >> Interfaces >> List >> Tunnel IF >> New】 建立 VPN Tunnel 專用 Interface 資訊:

建立 IPSec Phase 1

切換至路徑 【VPNs >> AutoKey Advanced >> Gateway >> New】 建立 IPSec Phase1資訊:

建立 IPSec Phase 2

切換至路徑 【VPNs >> AutoKey IKE >> New】 建立 IPSec Phase2 資訊:

建立二端 LAN 的 IP 位址資訊

切換至路徑 【Policy >> Policy Elements >> Addresses >> Untrust 及 Trust】 建立 Fortigate 及 Juniper LAN User 的IP 網段資訊,以便屆時簡化 Firewall Rules 設定。

Fortigate (Untrust)

Juniper (Trust)

增加 VPN 資訊至 Firewall Rules

新增 Outgoing / Incoming 的 Site to Site VPN 規則至 Firewall Rules 中,切換至路徑【Policy >> Policies】進行設定:

Outgoing Firewall Rules 資訊: From Trust To Untrust

Incoming Firewall Rules 資訊: From Untrust To Trust

新增 Static Route

新增 Static Route 使 Juniper LAN User 的封包知道往 Fortigate LAN User 的封包要往 tunnel.1 介面送,切換至路徑【Network >> Routing >> Destination >> trust-vr >> New】進行設定:

參考

[概念與範例 ScreenOS 參考指南 第5 卷: 虛擬私人網路]

[FortiGate Version 4.0 MR2 Administration Guide]

[Juniper Networks - How to Troubleshoot a VPN Tunnel that won't come up - Knowledge Base]

Me FAQ

Q. Juniper VPNs Monitor Satatus 中 SA 狀態為 Active 但 Link 狀態為 Down?

Error Message:

設定完成後 VPN Tunnel 不通,查看 Juniper VPNs Monitor Satatus 中 SA Status 狀態為 Active 但 Link 狀態為 Down。

Ans:

於建立 IPSec Phase 2 時記得勾選在 Advanced 項目中的 Optimized,勾選後 VPN Tunnel 就順利運作了,且 Link 狀態也為 Up,詳細內容請參考 [Juniper Networks - How do you enable the Optimized feature of VPN Monitor and what does it do - Knowledge Base]

Go To Oddmuse OrgGo To FreeBSD OrgCreative Commons 2.5 Taiwansitestates.com