Beveiligde toegang configureren met Fortigate Firewall

Inleiding

In dit document wordt beschreven hoe u Secure Access configureert met Fortigate Firewall.

Voorwaarden

• Provisioning van gebruiker configureren
• ZTNA SSO-verificatieconfiguratie
• Remote Access VPN Secure Access configureren

Vereisten

Cisco raadt u aan kennis te hebben van deze onderwerpen:

• Fortigate 7.4.x Version Firewall
• beveiligde toegang
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA
• Clientless ZTNA

Gebruikte componenten

De informatie in dit document is gebaseerd op: 

• Fortigate 7.4.x Version Firewall
• beveiligde toegang
• Cisco Secure Client - VPN
• Cisco Secure Client - ZTNA

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

Achtergrondinformatie

Cisco heeft Secure Access ontworpen om privétoepassingen te beschermen en toegang te bieden, zowel on-premise als in de cloud. Het beschermt ook de verbinding van het netwerk naar het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, allemaal gericht op het behoud van de informatie zoals deze via de cloud wordt benaderd.

Configureren

VPN configureren voor beveiligde toegang

1. Navigeer naar het beheerderspaneel van Secure Access.

2. Klik op Verbinden > Netwerkverbindingen > Netwerktunnelgroepen.

3. Klik onder Netwerktunnelgroepen op +Toevoegen.

4. Configureer de naam van de tunnelgroep, de regio en het apparaattype.

5. Klik op Volgende.

8. Configureer de IP-adresbereiken of -hosts die u op uw netwerk hebt geconfigureerd en die het verkeer via Secure Access willen doorgeven.

9. Klik op Opslaan.

10. Zodra u Opslaan, de informatie op de tunnel wordt weergegeven. Bewaar deze informatie voor de volgende stap; Configureer de VPN-site naar site op Fortigate.

tunnelgegevens

Configureer de VPN-site naar de site op Fortigate

1. Navigeer naar uw Fortigate-dashboard.

2. Klik op VPN > IPsec Tunnels.

3. Klik op Create New > IPsec Tunnels.

4. Klik op Aangepast, configureer een naam en klik op Volgende.

In de volgende afbeelding kunt u zien hoe u de instellingen voor de Networkcomputer configureert.

netwerk

netwerk

• IP-versie: IPv4
• Externe gateway: statisch IP-adres
• IP-adres: gebruik het IP-adres van het IP-adres van het primaire IP-datacenter dat in de tunnelgegevens is verstrekt
• Interface: Kies de WAN-interface die u wilt gebruiken om de tunnel te maken
• Lokale gateway: standaard uitschakelen
• Modusconfiguratie: uitschakelen als standaardinstelling
• NAT Traversal: inschakelen
• KeepAlive Frequentie: 10
• Dead Peer Detection: On Idle
• Aantal DPD-pogingen: 3
• DPD-herhalingsinterval: 10
• Foutcorrectie doorsturen: vink geen vakje aan
• Geavanceerd...: Raadpleeg Fase 2 voor configuratiestappen

Configureer de IKE Authenticationnu.

Verificatie

• Verificatie 
  • Methode: Vooraf gedeelde sleutel als standaard
  • Vooraf gedeelde sleutel: gebruik de wachtwoordzin in de stap Tunnel Data 
• IKE 
  • Versie: Kies versie 2

Configureer vervolgens de Phase 1 Proposalinstellingen.

Fase 1 voorstel

• Fase 1 voorstel 
  • Codering: kies AES256
  • Verificatie: kies SHA256
  • Diffie-Hellman-groepen: kies 20alleen, u kunt later problemen krijgen als u meerdere kiest
  • Levensduur sleutel (seconden): 86400 als standaard
  • Lokale ID: Gebruik de primaire tunnel-ID, gegeven in de stap Tunnel Data 

Configureer nu het voorstel voor fase 2.

Fase 2 voorstel

• Nieuwe fase 2
  • Naam: Standaard verlaten (deze waarde komt overeen met de naam van uw VPN-verbinding)
  • Lokaal adres: Standaard verlaten (0.0.0.0/0.0.0.0)
  • Extern adres: Laat als standaard (0.0.0.0/0.0.0.0)
• gevorderd 
  • Codering: kies AES128
  • Verificatie: kies SHA256
  • Opsporing opnieuw afspelen inschakelen: standaard laten (ingeschakeld)
  • Perfect Forward Secrecy (PFS) inschakelen Schakel het selectievakje uit
  • Lokale poort: Standaard verlaten (ingeschakeld)
  • Externe poort: standaard verlaten (ingeschakeld)
  • Protocol: Standaard verlaten (ingeschakeld)
  • Automatisch onderhandelen: standaard verlaten (niet gemarkeerd)
  • Auto-toets Keep Alive: Leave as default (Niet gemarkeerd)
  • Levensduur sleutel: standaard verlaten (seconden)
  • Seconden: Verlaten als standaard (43200)

Klik daarna op OK. U ziet dat de VPN is gemaakt met Secure Access en u kunt doorgaan met de volgende stap; Configureer de tunnelinterface.

De tunnelinterface configureren

Nadat de tunnel is gemaakt, wordt een nieuwe interface weergegeven achter de poort die u gebruikt als een WAN-interface om te communiceren met Secure Access. 

1. Navigeer naar om dit te Network > Interfacescontroleren.

2. Breid de poort uit die u gebruikt om te communiceren met Secure Access; in dit geval de WAN interface.

3. Klik op de tunnelinterface en klik op Bewerken.

4. Raadpleeg het image om de instellingen te configureren.

Interface-configuratie 

• IP: Configureer een niet-routeerbaar IP-adres dat zich niet in uw netwerk bevindt (bijvoorbeeld 169.254.0.1).
• Extern IP/Netmask: Configureer het externe IP-adres als het volgende IP-adres voor uw IP-interface en met een Netmask van 30 (bijvoorbeeld 169.254.0.2 255.255.255.252).

5. Klik OK hierop om de configuratie-instellingen op te slaan en verder te gaan met de volgende stap: Beleidsroute configureren (routering op basis van oorsprong).

Beleidsroute configureren

Op dit punt hebt u uw VPN geconfigureerd en ingesteld om toegang te beveiligen. Nu moet u het verkeer omleiden naar Secure Access om uw verkeer of toegang tot uw privétoepassingen achter uw FortiGate-firewall te beschermen.

1. Navigeer naar Network > Policy Routes.

2. Configureer het beleid.

• Als inkomend verkeer overeenkomt:
  • Inkomende interface: Kies de interface waar u van plan bent om het verkeer om te leiden naar Secure Access (oorsprong van het verkeer).
• Bronadres
  • IP/Netmask: gebruik deze optie als u alleen een subnet van een interface routeert.
  • Adressen: gebruik deze optie als u een object hebt gemaakt en de bron van het verkeer afkomstig is van meerdere interfaces en meerdere subnetten.
• Bestemmingsadressen
  • Adressen: Kies alle adressen als u internetverkeer wilt beschermen. Als u privé-toegang wilt, moet u uw VPN-profiel IP-pool en CGNAT-bereik 100.64.0.0/10 toevoegen.
  • Protocol: EENDER WELK KIEZEN.
• Dan 
  • Actie: Vooruitrijverkeer kiezen
• Uitgaande interface: kies de tunnelinterface die u hebt gewijzigd in de stap Tunnel-interface configureren.
• Gateway-adres: configureer het externe IP-adres dat is geconfigureerd in de stap RemoteIPnetmask.
• Status: kies Ingeschakeld.

3. Klik OK hierop om de configuratie-instellingen op te slaan. Controleer of het verkeer naar uw apparaten is omgeleid naar Secure Access. 

Verifiëren

Om te controleren of het verkeer is omgeleid van naar Secure Access, hebt u twee opties; u kunt op internet controleren en controleren op uw openbare IP-adres, of u kunt de opdracht uitvoeren met curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

Het openbare bereik waar u uw verkeer kunt zien, is:

• Min. host: 151.186.176.1 
• Max. host: 151.186.207.254

Als u een wijziging in uw openbare IP-adres ziet, betekent dit dat u wordt beschermd door Secure Access. U kunt uw privé-toepassing configureren op het Secure Access-dashboard om toegang te krijgen tot uw toepassingen vanuit VPNaaS of ZTNA.

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
2.0	04-Jun-2026	Bijgewerkte spelling, grammatica, zinsstructuur, bewerken van alt-tekst en nummering.
1.0	02-Aug-2024	Eerste vrijgave