IBM Cloud Docs
连接到 FortiGate 同级

连接到 FortiGate 同级

您可以使用 IBM Cloud VPN for VPC,通过 VPN 通道将 VPC 安全地连接到内部网络。 本主题提供有关如何配置 FortiGate VPN 网关以连接 VPN for VPC 的指导。

这些说明基于 FortiGate 300C,固件版本 v5.2.13, build762 (GA)。

在继续连接到内部部署同级之前,请阅读 VPN 网关限制

将基于 IBM 策略的 VPN 连接到 FortiGate 同级

选择 VPN > IPsec 隧道,然后创建新的自定义隧道或编辑现有隧道。

当 FortiGate VPN 从 VPN for VPC接收连接请求时,FortiGate 使用 IPsec 阶段 1 参数来建立安全连接并认证 VPN for VPC。 然后,如果安全策略允许连接,FortiGate VPN 就会使用 IPsec 第 2 阶段参数建立隧道,并应用 IPsec 安全策略。 密钥管理、认证和安全服务均通过 IKE 协议动态协商。

要支持这些功能,必须对 FortiGate VPN 执行以下一般配置步骤:

  • 定义 FortiGate VPN 验证 VPN for VPC 和建立安全连接所需的第 1 阶段参数。
  • 定义 FortiGate VPN 创建 VPN 通道所需的第 2 阶段参数,VPN for VPC。
  • 创建安全策略,用于控制 IP 源地址与目标地址之间允许的服务和允许的流量方向。

配置示例如下

  1. 在身份验证中选择 IKEv2。
  2. 在第一阶段提案中启用 DH-group 19
  3. 在第 1 阶段提案中设置 lifetime = 36000
  4. 在第二阶段建议中禁用 PFS。
  5. 在第 2 阶段提案中设置 lifetime = 10800
  6. 在第 2 阶段输入子网信息。
  7. 其余参数保留其缺省值。

将基于路由的 IBM 静态 VPN 连接到 FortiGate 同级

以下是如何将基于路由的 IBM 静态 VPN 连接到 FortiGate 同级的示例。

  1. 要配置主隧道,请选择 VPN> IPsec 隧道 并创建新的定制模板类型隧道,或者编辑现有隧道。

    FortiGate 连接主隧道创建
    图 1: FortiGate 连接主隧道创建

  2. 要配置主隧道的对等 IP,请使用基于 IBM 路由的 VPN 网关的小型公共 IP 地址作为远程网关 IP 地址。

    有关小型公共 IP 的更多信息,请参阅此 重要声明

    主隧道的FortiGate 连接对等 IP
    图 2: FortiGate 连接对等 IP

  3. 要配置 IKE 建议,请使用匹配的 IKE 版本和建议。

    FortiGate 连接 IKE 建议
    图 3: FortiGate 连接 IKE 建议

  4. 要配置 IPsec 建议,请使用匹配的 IPsec 建议。

    FortiGate 连接 IPsec 建议
    图 4: FortiGate 连接 IPsec 建议

当连接 FortiGate 到第三方 VPN 对等设备时,如果本地 ID 发送格式错误,第一阶段身份验证可能会失败。 默认情况下,即使配置了 IP 地址,FortiGate 也会以完全合格域名 (FQDN) 的形式发送本地 ID。 不过,有些第三方 VPN 网关希望使用 IP 地址格式的本地 ID。 身份类型不匹配可能导致 VPN 隧道失败,并显示错误:AUTHENTICATION_FAILED。 在对等端,日志可能会显示以下错误:Failed to locate an item in the database – Peer identity type is FQDN.

要解决此错误,请使用 FortiGate CLI,将 localid-type 设置为 address,将 localid 设置为 FortiGate 公共 IP。

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end

配置辅助隧道

要配置辅助隧道,请执行以下步骤:

  1. 重复上述步骤以创建辅助隧道。 使用基于 IBM 路由的 VPN 网关的大型公共 IP 地址作为远程网关 IP 地址。

    FortiGate 连接辅助隧道创建
    图 5: FortiGate 连接辅助隧道创建

  2. 创建主路由,其中目标是 VPC 子网,接口是主隧道。

    FortiGate 连接主路由
    图 6: FortiGate 连接主路由

  3. 要配置辅助路由,请创建备份路由,其中目标是 VPC 子网,接口是辅助隧道,并且管理距离大于主路由上的管理距离。

    FortiGate 连接辅助路由
    图 7: FortiGate 连接辅助路由

  4. 要验证配置,请列出所有路由并验证路由配置。 然后,检查是否在主路由和辅助路由上正确配置了路由距离和主路由。

    FortiGate 连接配置验证
    图 8: FortiGate 连接配置验证