Scribd Logo
Upload

Welcome to Scribd!

  • Cấu Hình VPN IPSec Site to Site Giữa Fortigate Và MikroTik

    Uploaded by

    NguyenTuan
    0 views15 pages

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    0 views15 pages

    Cấu Hình VPN IPSec Site to Site Giữa Fortigate Và MikroTik

    Uploaded by

    NguyenTuan

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 15

    Trần Tân

    Cấu hình VPN IPSec Site to Site giữa Fortigate và MikroTik

    Yêu cầu:
    Site A cần kết nối được với Site B
    Phiên bản của Fortigate:
    Trần Tân

    Phiên bản của Mikrotik

    PC 1 ping thành công đến IP Public của MikroTik


    Trần Tân

    PC 2 ping thành công đến IP Public của Fortigate

    Tại Fortigate:
    Bước 1: Khởi tạo IPSec Wizard

    Nhấn Next
    Trần Tân

    Tiếp tục Next

    Kết thúc quá trình khởi tạo bằng Create.


    Trần Tân

    Sau đó Fortigate sẽ tự tạo ra các thứ cần thiết cho việc VPN với giao thức IPSec

    Bước 2: Chỉnh sửa thông số các Phase

    Chọn IP Tunnels -> Chọn to_MikroTik -> Chọn Edit


    Trần Tân

    Chọn Convert To Custom Tunnel

    Edit Phase 1 Proposal


    Trần Tân

    Sau đó điều chỉnh lại Phase 1 Proposal như ảnh

    Chỉnh sửa Phase 2 Selectors


    Trần Tân

    Chỉnh sửa lại như hình.


    Vậy là xong Phase 1 và Phase 2 của IPSec tại Fortigate.
    Trần Tân

    Tại MikroTik:
    Bước 1: Khởi tạo các Phase
    Trần Tân

    Chỉnh sửa lại như ảnh. (đối chiếu với Phase 1 Proposal của Fortigate)

    Chỉnh sửa lại như ảnh. (đối chiếu với Phase 2 Selectors của Fortigate)
    Trần Tân

    Set Peers (Chọn đối tác mà ta cần kết nối).

    Nhập Pre-Shared Key là abc123 như bên Fortigate.


    Trần Tân

    Tạo Policy và gán chọn phương thức xác thực mã hõa mà ta đã khởi tạo ở trên, tại tab
    Action.

    Bước 2: Thiết lập 1 Policy khi dãy 192.168.1.0/24 đi đến dãy 172.16.1.0/24 sẽ không qua
    NAT
    Như ta đã biết NAT là 1 giao thức dùng để ánh xạ địa chỉ Private thành địa chỉ Public
    bằng cách sửa đổi thông tin địa chỉ trong gói IP. Việc này được thực hiện bởi router, khi
    lưu lượng đi qua nó. Nhờ vậy mà tiết kiệm được địa chỉ IP Public, NAT thì có nhiều dạng
    NAT và thường ta hay dùng là loại PAT – nhiều địa chỉ Private sẽ ánh xạ đến duy nhất
    một địa chỉ Public.
    Nhưng IPSec không chứa thông tin cổng như TCP/UDP. Nên khi NAT (PAT) không thể
    thực hiện ánh xạ và sẽ drop gói tin. Điều này sẽ khắc phục bằng tính năng NAT Traversal
    (IPSec over NAT), gói gói tin ESP trong UDP. Vì đã cấu hình từ trước nên bây giờ chỉ
    cần đặt Policy không cho dãy mạng trên qua NAT (PAT).
    /ip firewall nat add chain=srcnat action=accept place-before=0 src-
    address=192.168.1.0/24 dst-address=172.16.1.0/24
    Trần Tân

    Như vậy là chúng ta cấu hình xong VPN IPSec Site to Site bằng Pre-Shared key.

    Kiểm tra tại Fortigate:


    Trần Tân

    Kiểm tra tại MikroTik:


    Trần Tân

    Kiểm tra Ping thử:

    Đã ping thành công.

    You might also like