vida usługi it katowice
Kontakt
vida usługi it katowice

Jak skonfigurować IPsec VPN Remote Access (IKEv1 i IKEv2) na FortiGate — Kompletny poradnik

Czym jest IPsec i jak działa? 

Zanim jednak zaczniemy konfiguracje, musimy zrozumieć, czym jest IPsec oraz jak działa?

IPsec (Internet Protocol Security) to zestaw protokołów zapewniających szyfrowanie i uwierzytelnianie danych, które w tym przypadku dotyczą przesyłanych przez nasze urządzenia pakietów. Dzięki tym mechanizmom, zapewniona jest poufność, integralność oraz autentyczność informacji w sieci. Są to kluczowe funkcje wymagane do poprawnego działania bezpiecznej sieci, zwłaszcza w kontekście wymiany wrażliwych danych.

W przypadku dostępu zdalnego (remote access), IPsec jest szczególnie przydatny do tworzenia prywatnego tunelu w sieci, przez który użytkownicy będą mogli bezpiecznie uzyskać dostęp do zasobów firmy. Taki tunel zapewnia ochronę przed nieautoryzowanym dostępem i gwarantuje, że dane przesyłane między urządzeniem użytkownika a siecią firmową pozostaną chronione.

Spis treści:

IPsec IKEV1

Konfiguracja IPsec VPN Remote Access na FortiGate – krok po kroku (GUI)

  1. Po zalogowaniu się do naszego urządzenia FortiGate wybieramy sekcję VPN, a następnie IPsec Wizard. Jest to prosty kreator sieci VPN. W pierwszym etapie konfiguracji wpisujemy nazwę naszego tunelu, a następnie wybieramy szablon na Remote Access i klikamy przycisk next.

    konfiguracja IPsec VPN FortiGate

  2. W drugiej sekcji wybieramy port, na którym będzie nasłuchiwać nasza usługa. W tej sekcji konfigurujemy również hasło dostępu do naszego tunelu oraz wybieramy grupę użytkowników, którzy będą mogli uwierzytelniać się w celu uzyskania dostępu do tunelu.

    konfiguracja hasła dostępu do tunelu

  3. W trzeciej sekcji należy wskazać, które interfejsy i podsieci chcemy udostępnić naszym użytkownikom. Możemy w tym miejscu wskazać całą podsieć lub konkretne zasoby.

  4. W sekcji Client Address Range wskazujemy zakres adresów, które będą przypisywane do urządzeń po połączeniu się. Jeżeli chcemy aby użytkownicy po połączeniu się otrzymywali konkretne adresy DNS to należy je wskazać w tej sekcji.

    IPsec Client Address Range

    IPsec Tunnels FortiGate

  5. Po utworzeniu tunelu w sekcji IPsec Tunnels znajdziemy nowo utworzony tunel. Kreator również automatycznie utworzył inne elementy potrzebne do działania tunelu jak np. polityki na firewallu zgodnie z tym co wskazaliśmy w kreatorze. Przechodząc do właściwości tunelu należy skonwertować tunel na niestandardowy i zweryfikować ustawienia tunelu. W tym miejscu należy zwrócić uwagę algorytmy szyfrowania i uwierzytelniania ustawione w tunelu oraz grupy Diffiego Helmana. Te informacje będą nam potrzebne podczas konfigurowania ustawień tunelu w aplikacji FortiClient.

    IPsec VPN IKEv1 FortiGate
    Internet Protocol Security

Zapytaj specjalistę o rozwiązania do ochrony danych

Jak skonfigurować FortiClient do połączenia z IPsec VPN?

  1. Tworzymy nowe połączenie w aplikacji FortiClient i wybieramy „IPsec VPN”. Nazwa połączenia może być dowolna. Wskazujemy adres naszego interfejsu, który wybraliśmy w. W polu „Pre-shared Key” wpisujemy hasło, które wcześniej stworzyliśmy na FortiGate.
  2. Następnie należy przejść do ustawień zaawansowanych i sprawdzić szyfrowanie, wersję IKE (w naszym przypadku jest to wersja IKEv1) oraz w fazach ustawić odpowiednie grupy Diffiego-Hellmana.

    Jak skonfigurować FortiClient do połączenia z IPsec VPN

    konfiguracja FortiClient IPsec VPN

    jak skonfiguraować IPsec VPN Remote Access

  3. Po zapisaniu i wybraniu utworzonej przez nas konfiguracji należy wprowadzić poświadczenia użytkownika uprawnionego do łączenia się z tunelem.

    IPsec VPN poświadczenia użytkownika

Szkolenie FortiGate
Zapraszamy na hybrydowe lub stacjonarne szkolenie FortiGate. Podczas warsztatów przekonasz się, jak podnieść poziom bezpieczeństwa Twojej firmy, wykorzystując inteligentny firewall FortiGate.
Sprawdzam!

Konfiguracja IPsec VPN na FortiGate z IKEv2

IKEv2 jest nowocześniejszym i bardziej efektywnym protokołem niż IKEv1 – oferuje szybsze zestawianie tuneli VPN, lepszą odporność na zerwane połączenia (dzięki MOBIKE) oraz natywne wsparcie dla nat traversal. Dodatkowo IKEv2 jest bardziej bezpieczne, ponieważ standaryzuje silniejsze algorytmy kryptograficzne i usuwa słabości obecne w IKEv1.

  1. Zaczniemy od zmiany wersji IKE dla naszego tunelu. W tym celu wybieramy odpowiedni tunel w FortiGate i w sekcji autoryzacji ustawiamy wersję IKEv2.
  2. Zaraz po tej zmianie nasze fazy zostaną rozszerzone o większe możliwości szyfrowania, co można zobaczyć w ich konfiguracji, również w zakładce IPsec Tunnels.
  3. Analogicznie, w FortiClient należy zmienić wersję szyfrowania na 2 (IKEv2). Konfiguracja po stronie klienta powinna wyglądać w sposób przedstawiony poniżej:

    Konfiguracja IPsec VPN na FortiGate z IKEv2

CLI 

Aby dokończyć naszą konfigurację na urządzeniu FortiGate, należy posłużyć się konsolą CLI, która wymaga od nas uruchomienia EAP.

  1. Zaczynamy od wpisania polecenia config vpn ipsec phase1-interface, a następnie edit „nazwa naszego VPNa”.
  2. Po przejściu do konfiguracji wpisujemy kolejno trzy komendy: set eap enable, set eap-identity send-request oraz set authusrgrp „nasza_grupa_użytkowników”.
  3. Aby zapisać naszą konfigurację, wpisujemy kolejno: next i end, po czym wychodzimy z CLI.
  4. Teraz możemy połączyć się z firmową siecią tak samo, jak w przypadku IKEv1.

Warto pamiętać, że uwierzytelnianie IKEv2 korzysta z protokołu EAP. Urządzenia mobilne nie są w stanie obsłużyć tego protokołu.

Konfiguracja IPsec VPN na FortiGate

Konfiguracja IPsec VPN w trybie Remote Access na urządzeniach FortiGate to skuteczny sposób na zapewnienie bezpiecznego dostępu do zasobów firmowych. Dzięki wsparciu dla protokołów IKEv1 i IKEv2 oraz kompatybilności z klientem FortiClient na wielu systemach operacyjnych, możliwe jest szybkie i bezpieczne wdrożenie VPN w organizacji. Prawidłowo skonfigurowany FortiGate umożliwia szyfrowanie, uwierzytelnianie i kontrolę dostępu, co czyni go jednym z najczęściej wybieranych rozwiązań VPN w środowiskach korporacyjnych.

Masz pytania dotyczące konfiguracji lub urządzeń FortiGate?
Napisz do naszego inżyniera!

FAQ: Odpowiedzi naszych ekspertów

IPsec VPN (Internet Protocol Security Virtual Private Network) to protokół służący do tworzenia bezpiecznych tuneli między urządzeniami w internecie. Pozwala na szyfrowanie danych przesyłanych pomiędzy urządzeniem końcowym (np. komputerem, smartfonem) a siecią firmową, zapewniając bezpieczny dostęp do zasobów zdalnych.

IPsec VPN na FortiGate oferuje silne mechanizmy szyfrowania, niezawodność oraz elastyczność w konfiguracji. Umożliwia bezpieczny dostęp do zasobów firmowych z dowolnego miejsca, zapewniając integralność i poufność przesyłanych danych.

Sprawdź :

  • Czy IPsec VPN jest poprawnie skonfigurowany na FortiGate (szyfrowanie, grupy Diffiego-Hellmana, wersja IKE).
  • Czy hasło (pre-shared key) jest takie samo na obu stronach.
  • Czy użytkownik został przypisany do odpowiedniej grupy.
  • Czy porty i protokoły wymagane przez VPN są otwarte w firewallu.
  • Czy FortiClient jest poprawnie skonfigurowany i połączony z odpowiednią bramą.

FortiClient jest kompatybilny z systemami Windows, macOS, Linux, iOS oraz Android. Zapewnia to szeroką kompatybilność z urządzeniami, które mogą łączyć się z IPsec VPN na FortiGate.

Current Month

No Events

Vida premium care
VSD VIDA usługa wdrożenia
VSD VIDA usługa wdrożenia

Zadaj pytanie naszemu specjaliście
ds. bezpieczeństwa!

Wypełnij Formularz: