FortiGate 피어에 연결

IBM 정책 기반 VPN을 FortiGate 피어에 연결하기

VPN > IPsec 터널을 선택하고 새로운 사용자 정의 터널을 만들거나 기존 터널을 편집하십시오.

FortiGate VPN이 VPN for VPC로부터 연결 요청을 수신하면 FortiGate는 IPsec 1단계 매개변수를 설정하여 보안 연결을 설정한 후 VPN for VPC를 인증합니다. 그런 다음 보안 정책에서 연결을 허용하는 경우 FortiGate VPN은 IPsec 2단계 매개변수를 사용하여 터널을 설정하고 IPsec 보안 정책을 적용합니다. 키 관리, 인증 및 보안 서비스는 IKE 프로토콜을 통해 동적으로 협상합니다.

이러한 기능을 지원하려면 FortiGate VPN에 대해 다음과 같은 일반 구성 단계를 수행해야 합니다.

• FortiGate VPN에서 VPN for VPC를 인증하고 보안 연결을 설정하기 위해 필요한 1단계 매개변수를 정의하십시오.
• FortiGate VPN에서 VPN for VPC를 사용하여 VPN 터널을 작성하기 위해 필요한 2단계 매개변수를 정의하십시오.
• IP 소스와 목적지 주소 사이에서 허용되는 서비스 및 허용되는 트래픽 방향을 제어하기 위한 보안 정책을 작성하십시오.

구성 예시는 다음과 같습니다.

1. 인증에서 IKEv2를 선택하십시오.
2. 1단계 제안서에서 DH-group 19 을 활성화합니다.
3. 1단계 제안에서 lifetime = 36000을 설정하십시오.
4. 2단계 제안에서 PFS를 사용 안함으로 설정하십시오.
5. 2단계 제안에서 lifetime = 10800을 설정하십시오.
6. 2단계에서 서브넷의 정보를 입력하십시오.
7. 나머지 매개변수는 기본값을 유지하십시오.

IBM 정적 라우트 기반 VPN을 FortiGate 피어에 연결하기

다음 단계는 IBM 정적 라우팅 기반 VPN을 FortiGate 피어에 연결하는 방법을 보여줍니다.

1. 기본 터널을 구성하려면 VPN > IPsec 터널을 선택하고 새 맞춤형 템플릿 유형 터널을 만들거나 기존 터널을 편집하십시오.

   

2. 기본 터널의 피어 IP를 구성하려면 IBM 라우트 기반 VPN 게이트웨이의 소형 공용 IP 주소를 원격 게이트웨이 IP 주소로 사용하십시오.

   소형 공용 IP에 대한 자세한 정보는 중요 공지를 참조하십시오. 또한, 경우에 따라 Fortigate 피어를 구성할 때 패킷 드롭 문제를 방지하려면 NAT 통과 옵션을 활성화 대신 강제로 설정해야 합니다.

   

3. IKE 제안을 구성하려면 일치하는 IKE 버전 및 제안을 사용하십시오.

   

4. IPsec 제안을 구성하려면 일치하는 IPsec 제안을 사용하십시오.

   

타사 VPN 피어( FortiGate )에 연결할 때 로컬 ID가 잘못된 형식으로 전송되면 1단계 인증이 실패할 수 있습니다. 기본적으로 FortiGate 은 IP 주소가 구성되어 있어도 로컬 ID를 FQDN(정규화된 도메인 이름)으로 전송합니다. 하지만 일부 타사 VPN 게이트웨이는 로컬 ID 대신 IP 주소 형식을 요구합니다. ID 유형이 일치하지 않으면 VPN 터널이 오류와 함께 실패할 수 있습니다: AUTHENTICATION_FAILED. 피어 측에서는 로그에 다음과 같은 오류가 표시될 수 있습니다: Failed to locate an item in the database – Peer identity type is FQDN.

이 오류를 해결하려면 FortiGate CLI를 사용하여 localid-type 을 address, localid 을 FortiGate 공인 IP로 설정하세요.

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end