IBM Cloud Docs
Connexion à un homologue FortiGate

Connexion à un homologue FortiGate

Vous pouvez utiliser IBM Cloud VPN for VPC pour connecter en toute sécurité votre VPC à un réseau sur site via un tunnel VPN. Cette rubrique explique comment configurer votre passerelle VPN FortiGate pour la connexion à VPN for VPC.

Ces instructions reposent sur FortiGate 300C, Firmware Version v5.2.13, build762 (GA).

Consultez la rubrique Limitations de la passerelle VPN avant de poursuivre la connexion à votre homologue sur site.

Connexion d'un VPN IBM basé sur des stratégies à un homologue FortiGate

Sélectionnez VPN > Tunnels IPsec et créez un tunnel personnalisé ou éditez un tunnel existant.

Lorsqu'un VPN FortiGate reçoit une demande de connexion depuis VPN for VPC, FortiGate utilise les paramètres IPsec de phase 1 pour établir une connexion sécurisée et s'authentifier auprès de VPN for VPC. Ensuite, si la stratégie de sécurité autorise la connexion, le VPN FortiGate établit le tunnel en utilisant les paramètres IPsec de phase 2 et applique la stratégie de sécurité IPsec. Les services de gestion de clés, d'authentification et de sécurité sont négociés de manière dynamique via le protocole IKE.

Pour prendre en charge ces fonctions, les étapes de configuration générales suivantes doivent être effectuées sur le VPN FortiGate :

  • La définition des paramètres de phase 1 requis par le VPN FortiGate nécessite d'authentifier VPN for VPC et d'établir une connexion sécurisée.
  • La définition des paramètres de phase 2 requis par le VPN FortiGate nécessite de créer un tunnel VPN avec VPN for VPC.
  • Créez des stratégies de sécurité pour contrôler les services autorisés et la direction autorisée du trafic entre les adresses IP source et de destination.

Voici un exemple de configuration :

  1. Choisissez IKEv2 dans l'authentification.
  2. Permettre le site DH-group 19 dans la proposition de la phase 1.
  3. Définissez lifetime = 36000 dans la proposition de phase 1.
  4. Désactivez PFS dans la proposition de phase 2.
  5. Définissez lifetime = 10800 dans la proposition de phase 2.
  6. Entrez les informations de votre sous-réseau en phase 2.
  7. Les paramètres restants conservent leurs valeurs par défaut.

Connexion d'un VPN IBM statique basé sur des routes à un homologue FortiGate

Voici un exemple de connexion d'un VPN IBM statique basé sur des routes à un homologue FortiGate.

  1. Pour configurer un tunnel principal, sélectionnez VPN > Tunnels IPsec et créez un tunnel de type nouveau modèle personnalisé, ou éditez un tunnel existant.

    Création de tunnel principal de connexionFortiGate
    Figure 1: FortiGate

  2. Pour configurer une adresse IP d'homologue de tunnel principal, utilisez la petite adresse IP publique de la passerelle VPN IBM en tant qu'adresse IP de passerelle distante.

    Pour plus d'informations sur la petite adresse IP publique, voir cet avis important.

    Adresse IP de l'homologue de connexionFortiGate du tunnel principal
    Figure 2: FortiGate du tunnel principal

  3. Pour configurer une proposition IKE, utilisez la version et les propositions IKE correspondantes.

    Proposition IKE de connexionFortiGate
    Figure 3: Proposition IKE de connexion FortiGate

  4. Pour configurer une proposition IPsec, utilisez les propositions IPsec correspondantes.

    Proposition IPsec de connexionFortiGate
    Figure 4: Proposition IPsec de connexion FortiGate

Lors de la connexion de FortiGate à un pair VPN tiers, l'authentification de phase 1 peut échouer si l'ID local est envoyé dans le mauvais format. Par défaut, FortiGate envoie son identifiant local sous la forme d'un nom de domaine entièrement qualifié (FQDN), même si une adresse IP est configurée. Cependant, certaines passerelles VPN tierces attendent l'ID local au format adresse IP. Une incompatibilité entre les types d'identité peut entraîner l'échec du tunnel VPN avec l'erreur suivante : AUTHENTICATION_FAILED. Du côté de l'homologue, les journaux peuvent afficher l'erreur suivante : Failed to locate an item in the database – Peer identity type is FQDN.

Pour résoudre cette erreur, utilisez le CLI FortiGate et définissez l'adresse localid-type sur address et localid sur l'adresse IP publique FortiGate.

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end

Configuration d'un tunnel secondaire

Pour configurer un tunnel secondaire, procédez comme suit :

  1. Répétez les étapes précédentes pour créer le tunnel secondaire. Utilisez la grande adresse IP publique de la passerelle VPN IBM basée sur les routes comme adresse IP de la passerelle distante.

    Création de tunnel secondaire de connexionFortiGate
    Figure 5: FortiGate

  2. Créez la route principale où la destination est votre sous-réseau VPC et l'interface est le tunnel principal.

    Route principale de connexionFortiGate
    Figure 6: Route principale de connexion FortiGate

  3. Pour configurer une route secondaire, créez la route de sauvegarde où la destination est votre sous-réseau VPC, l'interface est le tunnel secondaire et la distance administrative est supérieure à celle sur la route principale.

    Route secondaire de connexionFortiGate
    Figure 7: Route secondaire de connexion FortiGate

  4. Pour vérifier les configurations, répertoriez toutes les routes et vérifiez les configurations de route. Ensuite, vérifiez que la longueur d'itinéraire et la ligne principale sont configurées correctement sur les routes principale et secondaire.

    Vérification de la configuration de la connexionFortiGate
    Figure 8: Vérification de la configuration de la connexion FortiGate