Introdução
Este documento descreve como configurar o acesso seguro com o Firewall Fortigate.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Firewall da versão Fortigate 7.4.x
- Acesso seguro
- Cisco Secure Client - VPN
- Cisco Secure Client - ZTNA
- ZTNA sem cliente
Componentes Utilizados
As informações neste documento são baseadas em:
- Firewall da versão Fortigate 7.4.x
- Acesso seguro
- Cisco Secure Client - VPN
- Cisco Secure Client - ZTNA
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
A Cisco projetou o Secure Access para proteger e fornecer acesso a aplicativos privados, no local e baseados em nuvem. Ele também protege a conexão da rede à Internet. Isso é obtido por meio da implementação de vários métodos e camadas de segurança, todos voltados para preservar as informações à medida que elas são acessadas pela nuvem.
Configurar
Configurar a VPN no acesso seguro
Navegue até o painel de administração do Secure Access.
- Clique em
Connect > Network Connections > Network Tunnels Groups
- Em
Network Tunnel Groups clique em + Add
- Configure
Tunnel Group Name, Region e
Device Type
- Clique em
Next
Observação: escolha a região mais próxima ao local do firewall.
- Configure o
Tunnel ID Format e Passphrase
- Clique em
Next
- Configure os intervalos de endereços IP ou hosts que você configurou na sua rede e deseja passar o tráfego pelo Secure Access
- Clique em
Save
Depois de clicar nas informações sobre Save o túnel que são exibidas, salve essas informações para a próxima etapa, Configure the VPN Site to Site on Fortigate.
Dados do túnel
Configure o site VPN para o site no Fortigate
Navegue até o painel Fortificar.
- Clique em
VPN > IPsec Tunnels
- Clique em
Create New > IPsec Tunnels
- Clique em
Custom , configure um Name e clique em Next.
Na próxima imagem, você verá como é necessário definir as configurações da Network peça.
Rede
Network
IP Version :IPv4
Remote Gateway :Endereço IP estático
IP Address: Use o IP de Primary IP Datacenter IP Address,fornecido na etapa Dados do túnel
Interface : Escolha a interface WAN que você planejou usar para estabelecer o túnel
Local Gateway : Desabilitar como padrão
Mode Config : Desabilitar como padrão
NAT Traversal :Enable
Keepalive Frequency :10
Dead Peer Detection : sob demanda
DPD retry count :3
DPD retry interval :10
Forward Error Correction : Não marque nenhuma caixa.
Advanced...: configure-o como a imagem.
Agora configure o IKE Authentication.
Autenticação
Authentication
Method : Chave pré-compartilhada como padrão
Pre-shared Key : Use o Passphrasedado na etapa Dados do túnel
IKE
Version : Escolha a versão 2.
Observação: o Secure Access suporta apenas IKEv2
Agora configure o Phase 1 Proposal.
Fase 1 Proposta
Phase 1 Proposal
Encryption : Escolha AES256
Authentication : Escolha SHA256
Diffie-Hellman Groups : Marque as caixas 19 e 20
Key Lifetime (seconds) : 86400 como padrão
Local ID : Use o comando Primary Tunnel ID,
fornecido na etapa Dados do túnel
Agora configure o Phase 2 Proposal.
Fase 2 Proposta
New Phase 2
Name : Deixe como padrão (tirado do nome da sua VPN)
Local Address : Deixe como padrão (0.0.0.0/0.0.0.0)
Remote Address : Deixe como padrão (0.0.0.0/0.0.0.0)
Advanced
Encryption : Escolha AES128
Authentication : Escolha SHA256
Enable Replay Detection : Deixe como padrão (Habilitado)
Enable Perfect Forward Secrecy (PFS) : Desmarcar a caixa de seleção
Local Port : Deixe como padrão (Habilitado)
Remote Port: Deixe como padrão (Habilitado)
Protocol : Deixe como padrão (Habilitado)
Auto-negotiate : Deixar como padrão (Desmarcado)
Autokey Keep Alive : Deixar como padrão (Desmarcado)
Key Lifetime : Deixe como padrão (segundos)
Seconds : Deixe como padrão (43200)
Depois disso, clique em OK. Após alguns minutos, você verá que a VPN foi estabelecida com o Secure Access e poderá continuar com a próxima etapa, Configure the Tunnel Interface.
Configurar a interface do túnel
Depois que o túnel for criado, você perceberá que há uma nova interface atrás da porta que está usando como interface WAN para se comunicar com o Secure Access.
Para verificar isso, navegue até Network > Interfaces.
Expanda a porta que você usa para se comunicar com o Secure Access; nesse caso, a WAN interface.
- Clique no
Tunnel Interface e em Edit
- Você tem a próxima imagem que precisa configurar
Interface Configuration
IP : Configure um IP não roteável que você não tenha em sua rede (169.254.0.1)
Remote IP/Netmask : configure o IP remoto como o próximo IP do IP da interface e com uma máscara de rede de 30 (169.254.0.2 255.255.255.252)
Depois disso, clique OK para salvar a configuração e continuar com a próxima etapa, Configure Policy Route (Roteamento baseado na origem).
Aviso: Após esta parte, você deve configurar as Políticas de Firewall em seu FortiGate para permitir ou permitir o tráfego de seu dispositivo para Acesso Seguro e de Acesso Seguro para as redes que você deseja rotear o tráfego.
Configurar Rota de Política
Neste ponto, você tem sua VPN configurada e estabelecida para acesso seguro; agora, você deve redirecionar o tráfego para acesso seguro para proteger seu tráfego ou acesso a seus aplicativos privados por trás do firewall FortiGate.
- Navegue até
Network > Policy Routes
If Incoming traffic matches
Incoming Interface : Escolha a interface de onde você planejou redirecionar o tráfego para o Secure Access (origem do tráfego)
Source Address
IP/Netmask : use esta opção apenas se você rotear uma sub-rede de uma interface
Addresses : use esta opção se você tiver o objeto criado e a origem do tráfego vier de várias interfaces e várias sub-redes
Destination Addresses
Addresses: Escolher all
Protocol: Escolher ANY
Then
Action: Choose Forward Traffic
Outgoing Interface : Escolha a interface de túnel que você modificou na etapa, Configurar interface de túnel
Gateway Address: Configure o IP remoto configurado na etapa, RemoteIPNetmask
Status :
Escolher Habilitado
Clique OK para salvar a configuração. Agora, você está pronto para verificar se o tráfego de seus dispositivos foi roteado novamente para o Secure Access.
Verificar
Para verificar se o tráfego da sua máquina foi redirecionado para o Secure Access, você tem duas opções: você pode verificar na Internet e seu IP público ou executar o próximo comando com curl:
C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }
O intervalo público de onde você pode ver seu tráfego é de:
Min Host:151.186.176.1
Max Host :151.186.207.254
Observação: esses IPs estão sujeitos a alterações, o que significa que a Cisco provavelmente estenderá esse intervalo no futuro.
Se você vir a alteração de seu IP público, isso significa que você está sendo protegido pelo Secure Access e agora você pode configurar seu aplicativo privado no painel do Secure Access para acessar seus aplicativos de VPNaaS ou ZTNA.