Lab Fortigate PPPoE và DHCP server và VPN IPsec

by HaiNguyen -IT | 19/08/2023 | Lượt xem: 3132

Mô hình lab mạng:

THỰC HIỆN:

- Đặt IP cho Fortigate

  MGMT: 192.168.2.1,

  port 2: 10.1.3.1,

  port 1: 10.1.2.1

- Đặt IP cho các thiết bị khác ( Quy hoạch IP, ví dụ link đoạn R3-R4 thì là 10.3.4.3 và 10.3.4.4)


- Cấu hình Fortigate cấp DHCP cho VPC_LAN


- Cấu hình Fortigate quay PPPoE và ra được internet. Account: u1/u1. 

- Cấu hình R2 làm PPPoE server để cấp IP cho Fortigate. Cấp xong thì Fortinet cần ping ra được internet


- Đặt tĩnh IP ở cổng port2 của FGT, cấu hình đường VPN IPSEC với đối tác R4.


- Ping thông 2 LAN mà vẫn đảm bảo LAN xanh đi ra được internet

Tải file lab EVE: TẠI ĐÂY

Bạn tải image Fortigate ở đây https://mega.nz/folder/AVd21DpK#AEuf29CMzA-yJuv3F8oDbw/folder/pN0yWIpY

==============GỢI Ý CÁC BƯỚC KHÓ VỚI NGƯỜI MỚI===========

Tạo PPPoE server trên Router Cisco R2:

 

bba-group pppoe global
 virtual-template 1

username u1 password u1 ##Để cho client nhập vào

interface Virtual-Template1
 mtu 1492
 ip address 10.1.2.2 255.255.255.0
 ip nat inside ##Để cho dải LAN từ FGT được NAT ra internet
 ip virtual-reassembly in
 peer default ip address pool CLIENT
 ppp authentication chap callin
!
ip local pool CLIENT 10.1.2.1 10.1.2.10

!

interface Ethernet0/0
 no ip address
 pppoe enable group global

 

Tạo PPPoE client trên Fortigate Port1:

Vào mode CLI của FGT, gõ:

config system interface
edit port1
set mode pppoe
end

Sau đó mới vào giao diện FGT, chọn Network > Interface > port1 và điền u1/u1 rồi bấm OK và xem nhận IP từ PPPoE server chưa

Tạo Cấu hình VPN IP SEC với Cisco:

Cisco:

crypto isakmp policy 1
 encr des
 hash md5
 authentication pre-share
 group 2
crypto isakmp key 123456 address 10.1.3.1

!
!
crypto ipsec transform-set TS esp-des  esp-sha-hmac 
!

crypto map CM 10 ipsec-isakmp 
 set peer  10.1.3.1
 set transform-set TS 
 match address 100
!
access-list 100 permit ip 192.168.4.0 0.0.0.255 192.168.1.0 0.0.0.255

!!Note: ACL có chiều từ R4 sang FGT

interface e0/0 
crypto map CM
!Áp vào cổng WAN R4, ko phải LAN.

Fortigate

Tạo trên giao diện xong thì vào cli để chỉnh thông số khớp với bên Cisco R4:

FGT_01 # show vpn ipsec phase1-interface 
config vpn ipsec phase1-interface
    edit "To_R4"
        set interface "port2"
        set peertype any
        set net-device disable
        set proposal des-md5 des-sha1
        set comments "VPN: To_R4 (Created by VPN wizard)"
        set dhgrp 2

FGT_01 # show vpn ipsec phase2-interface  
config vpn ipsec phase2-interface
    edit "To_R4"
        set phase1name "To_R4"
        set proposal des-md5 des-sha1
        set comments "VPN: To_R4 (Created by VPN wizard)"
        set src-addr-type name
        set dst-addr-type name
        set src-name "To_R4_local"
        set dst-name "To_R4_remote"
    next
end

Ta cần chỉnh các phần bôi vàng bên trên cho khớp với Cisco.

 

Bài viết cùng danh mục
Chia sẻ
Danh mục bài viết
Bài viết nổi bật
Bài viết mới nhất