Descripción
Solución
La guía CLI establece: Si desea utilizar el enrutamiento dinámico con el túnel, o poder hacer ping a la interfaz del túnel, debe especificar una dirección para el extremo remoto del túnel en remote-ip y una dirección para este extremo del túnel. en IP. Esto solo está disponible si el tipo es túnel.
Tenga en cuenta que estas configuraciones son para túneles con direcciones IP estáticas.
Este documento se actualizará en una fecha posterior para el túnel de acceso telefónico.
Extractos de los ajustes de configuración de CLI para FortiGate izquierdo (las reglas de FW no se muestran aquí)
config interfaz del sistema
editar «port13»
establecer vdom «Externo»
establecer ip 10.115.2.97 255.255.240.0
establecer tipo físico
siguiente
editar «Túnel1»
establecer vdom «Externo»
establecer ip 11.11.11.97 255.255.255.255 (use cualquier IP que se requiera)
establecer tipo túnel
establecer ip remota 11.11.11.130 ( use cualquier IP que se requiera )
establecer interfaz «port13»
—————————— ————————————
config vpn ipsec phase1-interface
edit «Tunnel1»
set interface «port13 «
establecer nattraversal deshabilitar
establecer remoto-gw 10.115.1.130
establecer psksecret ENC LCVkCiK2E2PhVUzZe
siguiente
final
config vpn ipsec fase2-interfaz
editar «Túnel1-P2»
establecer nombre de fase1 «Túnel1»
establecer keepalive habilitar
establecer negociación automática habilitar
final
—————— ————————————————
configuración del enrutador bgp
establecido como 65002
establecer router-id 192.168.1.97
config vecino
editar «11.11.11.130»
establecer remoto-como 65003
final
Extractos de los ajustes de configuración de CLI para FortiGate derecho
config interfaz del sistema
editar «puerto2»
establecer vdom «raíz»
establecer ip 10.115.1.130 255.255.240.0
establecer allowaccess ping https ssh http telnet
establecer tipo físico
establecer snmp-index 2
siguiente
editar «Túnel1»
establecer vdom «raíz»
establecer ip 11.11.11.130 255.255.255.255 ( use la IP que se requiera )
configure el tipo de túnel
configure la ip remota 11.11.11.97 ( use la IP que se requiera )
configure la interfaz «port2»
————————————————– —————-
config vpn ipsec fase1-interfaz
editar «Túnel1»
establecer interfaz «port2»
establecer remote-gw 10.115.2.97
establecer psksecret ENC LCVkCiK2E2PhVUzZe
siguiente
final
config vpn ipsec fase2-interfaz
editar «Tunnel1-P2»
establecer fase1 nombre «Tunnel1»
establecer negociación automática habilitar
final
——— ————————————————– ——-
config router bgp
establecido como 65003
set router-id 192.168.1.130
config vecino
edit «11.11.11.97»
set remote-as 65002
end
—————- ————————————————– –
configurar la política de cortafuegos
editar 3
establecer srcintf «Túnel1»
establecer dstintf «puerto3»
establecer acción aceptar
establecer servicio «TODO»
siguiente
editar 4
establecer srcintf «puerto3»
establecer dstintf «Túnel1»
establecer acción aceptar
establecer servicio «TODO»
Verificación de sesiones BGP
FG-Left # obtener información del enrutador vecino bgp El vecino
BGP es 11.11.11.130, AS remoto 65003, AS local 65002, enlace externo
BGP versión 4, ID de enrutador remoto 192.168.1.130
Estado BGP = Establecido, activo a las 00:09:44
.
Conexiones establecidas 1; eliminado 0
Host local: 11.11.11.97, Puerto local: 179
Host extranjero: 11.11.11.130, Puerto extranjero: 1375
Nexthop: 11.11.11.97
——————— ————————————————– —
FG-Right # obtener información del enrutador bgp vecino
BGP vecino es 11.11.11.97, remoto AS 65002, local AS 65003, enlace externo¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!
