Professional Documents
Culture Documents
Cấu Hình VPN IPSec Site to Site Giữa Fortigate Và MikroTik
Cấu Hình VPN IPSec Site to Site Giữa Fortigate Và MikroTik
Yêu cầu:
Site A cần kết nối được với Site B
Phiên bản của Fortigate:
Trần Tân
Tại Fortigate:
Bước 1: Khởi tạo IPSec Wizard
Nhấn Next
Trần Tân
Sau đó Fortigate sẽ tự tạo ra các thứ cần thiết cho việc VPN với giao thức IPSec
Tại MikroTik:
Bước 1: Khởi tạo các Phase
Trần Tân
Chỉnh sửa lại như ảnh. (đối chiếu với Phase 1 Proposal của Fortigate)
Chỉnh sửa lại như ảnh. (đối chiếu với Phase 2 Selectors của Fortigate)
Trần Tân
Tạo Policy và gán chọn phương thức xác thực mã hõa mà ta đã khởi tạo ở trên, tại tab
Action.
Bước 2: Thiết lập 1 Policy khi dãy 192.168.1.0/24 đi đến dãy 172.16.1.0/24 sẽ không qua
NAT
Như ta đã biết NAT là 1 giao thức dùng để ánh xạ địa chỉ Private thành địa chỉ Public
bằng cách sửa đổi thông tin địa chỉ trong gói IP. Việc này được thực hiện bởi router, khi
lưu lượng đi qua nó. Nhờ vậy mà tiết kiệm được địa chỉ IP Public, NAT thì có nhiều dạng
NAT và thường ta hay dùng là loại PAT – nhiều địa chỉ Private sẽ ánh xạ đến duy nhất
một địa chỉ Public.
Nhưng IPSec không chứa thông tin cổng như TCP/UDP. Nên khi NAT (PAT) không thể
thực hiện ánh xạ và sẽ drop gói tin. Điều này sẽ khắc phục bằng tính năng NAT Traversal
(IPSec over NAT), gói gói tin ESP trong UDP. Vì đã cấu hình từ trước nên bây giờ chỉ
cần đặt Policy không cho dãy mạng trên qua NAT (PAT).
/ip firewall nat add chain=srcnat action=accept place-before=0 src-
address=192.168.1.0/24 dst-address=172.16.1.0/24
Trần Tân
Như vậy là chúng ta cấu hình xong VPN IPSec Site to Site bằng Pre-Shared key.