FortiGate 피어에 연결
IBM Cloud VPN for VPC를 사용하여 안전하게 VPN 터널을 통해 VPC를 온프레미스 네트워크에 연결할 수 있습니다. 이 주제에서는 VPN for VPC에 연결하도록 FortiGate VPN 게이트웨이를 구성하는 방법에 대한 지침을 제공합니다.
다음 지시사항은 FortiGate 300C, 펌웨어 버전 v5.2.13, 빌드 762(GA)를 기준으로 합니다.
온-프레미스 피어에 계속 연결하기 전에 VPN 게이트웨이의 알려진 문제를 읽어보세요.
IBM 정책 기반 VPN을 FortiGate 피어에 연결하기
VPN > IPsec 터널을 선택하고 새로운 사용자 정의 터널을 만들거나 기존 터널을 편집하십시오.
FortiGate VPN이 VPN for VPC로부터 연결 요청을 수신하면 FortiGate는 IPsec 1단계 매개변수를 설정하여 보안 연결을 설정한 후 VPN for VPC를 인증합니다. 그런 다음 보안 정책에서 연결을 허용하는 경우 FortiGate VPN에서 IPsec 2단계 매개변수를 사용하여 터널을 설정한 후 IPsec 보안 정책을 적용합니다. 키 관리, 인증 및 보안 서비스는 IKE 프로토콜을 통해 동적으로 협상합니다.
이러한 기능을 지원하려면 FortiGate VPN에 대해 다음과 같은 일반 구성 단계를 수행해야 합니다.
- FortiGate VPN에서 VPN for VPC를 인증하고 보안 연결을 설정하기 위해 필요한 1단계 매개변수를 정의하십시오.
- FortiGate VPN에서 VPN for VPC를 사용하여 VPN 터널을 작성하기 위해 필요한 2단계 매개변수를 정의하십시오.
- IP 소스와 목적지 주소 사이에서 허용되는 서비스 및 허용되는 트래픽 방향을 제어하기 위한 보안 정책을 작성하십시오.
구성 예시는 다음과 같습니다.
- 인증에서 IKEv2를 선택하십시오.
- 1단계 제안서에서
DH-group 19
을 활성화합니다. - 1단계 제안에서
lifetime = 36000
을 설정하십시오. - 2단계 제안에서 PFS를 사용 안함으로 설정하십시오.
- 2단계 제안에서
lifetime = 10800
을 설정하십시오. - 2단계에서 서브넷의 정보를 입력하십시오.
- 나머지 매개변수는 기본값을 유지하십시오.
IBM 정적 라우트 기반 VPN을 FortiGate 피어에 연결하기
IBM 정적 라우트 기반 VPN을 FortiGate 피어에 연결하는 방법의 예는 아래와 같습니다.
-
기본 터널을 구성하려면 VPN > IPsec 터널을 선택하고 새 맞춤형 템플릿 유형 터널을 만들거나 기존 터널을 편집하십시오.
그림 1: FortiGate 연결 기본 터널 작성 -
기본 터널의 피어 IP를 구성하려면 IBM 라우트 기반 VPN 게이트웨이의 소형 공용 IP 주소를 원격 게이트웨이 IP 주소로 사용하십시오.
소형 공용 IP에 대한 자세한 정보는 중요 공지를 참조하십시오.
그림 2: FortiGate 1차 터널의 연결 피어 IP -
IKE 제안을 구성하려면 일치하는 IKE 버전 및 제안을 사용하십시오.
그림 3: FortiGate 연결 IKE 제안 -
IPsec 제안을 구성하려면 일치하는 IPsec 제안을 사용하십시오.
그림 4: FortiGate 연결 IPsec 제안
FortiGate 을 타사 VPN 피어에 연결할 때 로컬 ID가 잘못된 형식으로 전송되면 1단계 인증이 실패할 수 있습니다. 기본적으로 FortiGate 은 IP 주소가 구성되어 있어도 로컬 ID를 FQDN(정규화된 도메인 이름)으로 전송합니다. 하지만 일부 타사 VPN 게이트웨이는 로컬 ID 대신 IP 주소 형식을 요구합니다. ID 유형이 일치하지 않으면 VPN 터널이 오류와 함께 실패할 수 있습니다: AUTHENTICATION_FAILED
.
피어 측에서는 로그에 다음과 같은 오류가 표시될 수 있습니다: Failed to locate an item in the database – Peer identity type is FQDN
.
이 오류를 해결하려면 FortiGate CLI를 사용하여 localid-type
을 address
, localid
을 FortiGate 공인 IP로 설정하세요.
config vpn ipsec phase1-interface
edit <tunnel_name>
set localid-type address
set localid <your FortiGate public IP>
next
end
보조 터널 구성하기
보조 터널을 구성하려면 다음 단계를 수행하십시오.
-
이전 단계를 반복하여 보조 터널을 만듭니다. IBM 라우트 기반 VPN 게이트웨이의 대형 공용 IP 주소를 원격 게이트웨이 IP 주소로 사용하십시오.
그림 5: FortiGate 연결 보조 터널 작성 -
대상을 VPC 서브넷으로, 인터페이스를 기본 터널로 하는 기본 라우트를 만듭니다.
그림 6: FortiGate 연결 기본 라우트 -
보조 라우트를 구성하려면 대상이 VPC 서브넷이고 인터페이스가 보조 터널이며 관리 거리가 기본 라우트의 관리 거리보다 큰 백업 라우트를 만듭니다.
그림 7: FortiGate 연결 보조 라우트 -
구성을 확인하려면 모든 라우트를 나열하고 라우트 구성을 확인하십시오. 그 다음, 라우트 거리와 기본이 기본 및 보조 라우트에서 제대로 구성되었는지 확인하십시오.
그림 8: FortiGate 연결 구성 확인