VPN na FortiGate =================== Dokumentację konfiguracji tuneli VPN na urządzeniach FortiGate (w języku angielskim) można znaleźć na stronie producenta pod adresem oraz Dane dostępowe do klastra FortiGate -------------------------------------- Dostęp dostępowe do VDOM w klastrze Fortigate można znaleźć w panelu Atman Cloud – . Należy wybrać zakładkę **Środowiska chmurowe** a następnie zakładkę **VPN**. ![pic1](images/FortiGate_0_0.png) Instrukcja migracji tuneli VPN OpenStack-a na klaster FortiGate ------------------------------------------------------------------ W nowym rozwiązaniu klient dostaje jedną wirtualną domenę (VDOM) na klastrze Fortigatów z osobnym publicznym adresem IP. Dostęp do klastra VDOM’u jest możliwy poprzez protokół **https** (https://) oraz **ssh**. Po zalogowaniu się do VDOM’u należy skonfigurować adresację połączeniową pomiędzy FortiGate a środowiskiem cloud (routerem chmurowym) oraz ustawienie routingu na tym routerze. Poniżej została przedstawiona poglądowa architektura połączeń nowego rozwiązania. ![pic2](images/FortiGate_1_0.png) Konfiguracja połączenia pomiędzy klastrem FortiGate a środowiskiem chmurowym ------------------------------------------------------------------------------- Po stronie OpenStacka dostajemy łącznik pomiędzy chmurą a vdom’em w klastrze Fortigatów. Łącznik będzie widoczny w zakładce **Network -> Networks**. Sieć zostanie dodana i będzie miała w nazwie **CROSSCONNECT**. ![pic3](images/FortiGate_2_1.png) W naszej sieci połączeniowej konfigurujemy adresację połączeniową pomiędzy routerem w chmurze a vdom’em w FortiGate. ![pic4](images/FortiGate_2_2.png) Następnie wypełniamy poniższe formatki. W naszym przykładzie wykorzystaliśmy adresacje **10.255.255.0/30** ale może to również być inna dowolna adresacja. ![pic5](images/FortiGate_2_3.png) ![pic6](images/FortiGate_3_1.png) Powstałą sieć dodajemy do routera w OpenStacku oraz ustawiamy adres na interfejsie wewnętrznym FortiGate. W tym celu przechodzimy do zakładki **Network -> Routers**, następnie wybieramy nasz router i dodajemy interfejs **ADD INTERFACE**. ![pic7](images/FortiGate_3_2.png) W naszym przykładzie ustawimy adres **10.255.255.1** po stronie **routera w OpenStacku** a adres **10.255.255.2** po stronie **FortiGate**. ![pic8](images/FortiGate_4_1.png) W zakładce **Static Routes** naszego routera dodajemy trasy które mają być osiągalne poprzez vpn’a na FortiGate. ![pic9](images/FortiGate_4_2.png) Poniżej przykład dodawania trasy dla prefiksu **10.12.0.0/24** który ma być osiągalny przez FortiGate. Adres **10.255.255.2** to ustawiony przez nas adres na FortiGate. ![pic10](images/FortiGate_4_3.png) Gdy już utworzyliśmy konfigurację po stronie środowiska chmurowego to przechodzimy do konfiguracji po stronie FortiGate. Aby dokończyć połączenie z chmurą należy na interfejsie **Internal’owym** ustawić adres połączeniowy. W naszym przypadku **10.255.255.2/30**. ![pic11](images/FortiGate_5_1.png) ![pic12](images/FortiGate_5_2.png) Poniżej ustawiamy adres połączeniowy. W tym celu wybieramy **Addressing mode Manual** oraz **IP/Netmask** ![pic13](images/FortiGate_5_3.png) Dodawanie routingu po stronie FortiGate. Tutaj dodajemy sieci które są w środowisku chmurowym i chcemy je osiągać przez VPN’a. ![pic14](images/FortiGate_6_1.png) ![pic15](images/FortiGate_6_2.png) Tworzenie VPN’ów ------------------- Tunele VPN możem tworzyć np. w zakładce **VPN -> IPsec Wizard**. ![pic16](images/FortiGate_7_1.png) Uzupełniamy formatkę. **Remote IP Address** to adres tunelu po drugiej stronie, **pre-shared key** – klucz który musi być taki sam po obu stronach tunelu. ![pic17](images/FortiGate_7_2.png) W następnej formatce wypełniamy adresacje które mają być przesyłane przez tunel. W tym przypadku **10.255.255.0/30** i **192.168.20.0/24** są terminowane po stronie chmury. Po drugiej stronie tunelu ma znajdować się adresacja **10.12.0.0/24**. ![pic18](images/FortiGate_7_3.png) Następnie klikamy **Create** i tworzy nam się konfiguracja tunelu. ![pic19](images/FortiGate_8_1.png)