Inleiding
In dit document wordt beschreven hoe u Secure Access configureert met Fortigate Firewall.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Fortigate 7.4.x Version Firewall
- beveiligde toegang
- Cisco Secure Client - VPN
- Cisco Secure Client - ZTNA
- Clientless ZTNA
Gebruikte componenten
De informatie in dit document is gebaseerd op:
- Fortigate 7.4.x Version Firewall
- beveiligde toegang
- Cisco Secure Client - VPN
- Cisco Secure Client - ZTNA
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie

Cisco heeft Secure Access ontworpen om privétoepassingen te beschermen en toegang te bieden, zowel on-premise als in de cloud. Het beschermt ook de verbinding van het netwerk naar het internet. Dit wordt bereikt door de implementatie van meerdere beveiligingsmethoden en -lagen, allemaal gericht op het behoud van de informatie terwijl ze er toegang toe hebben via de cloud.
Configureren
VPN configureren voor beveiligde toegang
Navigeer naar het beheerderspaneel van Secure Access.

- Klik op
Connect > Network Connections > Network Tunnels Groups

- Onder
Network Tunnel Groups
klik op + Add

- Configureren
Tunnel Group Name
, Region
en Device Type
- Klik op de knop
Next

Opmerking: Kies de regio die het dichtst bij de locatie van uw firewall ligt.
- Configureer de
Tunnel ID Format
en Passphrase
- Klik op de knop
Next

- Configureer de IP-adresbereiken of -hosts die u in uw netwerk hebt geconfigureerd en die het verkeer via Secure Access willen doorgeven
- Klik op de knop
Save

Nadat u hebt geklikt op de informatie over de tunnel die wordt weergegeven, Save
slaat u deze informatie op voor de volgende stap, Configure the VPN Site to Site on Fortigate.
tunnelgegevens

Configureer de VPN-site naar de site op Fortigate
Navigeer naar je Fortigate-dashboard.
- Klik op de knop
VPN > IPsec Tunnels

- Klik op de knop
Create New > IPsec Tunnels

- Klik op
Custom
, configureer een Name
computer en klik Next
op.

In de volgende afbeelding ziet u hoe u de instellingen voor het Network
onderdeel moet configureren.
netwerk

Network
IP Version
:IPv4
Remote Gateway
:Statisch IP-adres
IP Address
: Gebruik het IP-adres vanPrimary IP Datacenter IP Address,
gegeven in de stap Tunnel Data
Interface
: Kies de WAN-interface die u wilt gebruiken om de tunnel tot stand te brengen
Local Gateway
: Uitschakelen als standaard
Mode Config
: Uitschakelen als standaard
NAT Traversal
:Inschakelen
Keepalive Frequency
:10
Dead Peer Detection
: bij inactief
DPD retry count
:3
DPD retry interval
:10
Forward Error Correction
: Vink geen vakje aan.
Advanced...
: Configureer het als de afbeelding.
Configureer de IKE Authentication
nu.
Verificatie

Authentication
Method
: Vooraf gedeelde sleutel als standaard
Pre-shared Key
: Gebruik het Passphrase
gegeven in de stap Tunnel Data
IKE
Version
Kies voor versie 2.
Opmerking: Secure Access ondersteunt alleen IKEv2
Configureer nu de Phase 1 Proposal
instellingen.
Fase 1 voorstel

Phase 1 Proposal
Encryption
Kies: AES256
Authentication
Kies: SHA256
Diffie-Hellman Groups
: Vink vakje 19 en 20 aan
Key Lifetime (seconds)
: 86400 als standaard
Local ID
: Gebruik het Primary Tunnel ID
, gegeven in de stap Tunnel Data
Configureer nu de Phase 2 Proposal
instellingen.
Fase 2 voorstel

New Phase 2
Name
: Laat als standaard (Dit is ontleend aan de naam van uw VPN)
Local Address
: Laat als standaard (0.0.0.0/0.0.0.0)
Remote Address
: Laat als standaard (0.0.0.0/0.0.0.0)
Advanced
Encryption
Kies: AES128
Authentication
Kies: SHA256
Enable Replay Detection
: laten als standaard (ingeschakeld)
Enable Perfect Forward Secrecy (PFS)
: Schakel het selectievakje uit
Local Port
: laten als standaard (ingeschakeld)
Remote Port
: laten als standaard (ingeschakeld)
Protocol
: laten als standaard (ingeschakeld)
Auto-negotiate
: laten als standaard (niet gemarkeerd)
Autokey Keep Alive
: laten als standaard (niet gemarkeerd)
Key Lifetime
: laten als standaard (seconden)
Seconds
: Laat als standaard (43200)
Klik daarna op OK. Je ziet na enkele minuten dat de VPN is ingesteld met Secure Access, en je kunt doorgaan met de volgende stap, Configure the Tunnel Interface.

De tunnelinterface configureren
Nadat de tunnel is gemaakt, merkt u dat u een nieuwe interface achter de poort hebt die u gebruikt als een WAN-interface om te communiceren met Secure Access.
Om dit te controleren, navigeert u naar Network > Interfaces
WEB.

Breid de poort uit die u gebruikt om te communiceren met Secure Access; in dit geval de WAN
interface.

- Klik op uw
Tunnel Interface
website en klik op Edit

- U hebt de volgende image die u moet configureren

Interface Configuration
IP
: Configureer een niet-routeerbaar IP-adres dat u niet in uw netwerk hebt (169.254.0.1)
Remote IP/Netmask
: Configureer het externe IP-adres als het volgende IP-adres van uw IP-interface en met een netmasker van 30 (169.254.0.2 255.255.255.252)
Klik daarna op OK
om de configuratie op te slaan en verder te gaan met de volgende stap,Configure Policy Route
(routering op basis van oorsprong).
Waarschuwing: na dit onderdeel moet u het firewallbeleid op uw FortiGate configureren om het verkeer van uw apparaat naar Secure Access en van Secure Access naar de netwerken die u het verkeer wilt routeren, toe te staan of toe te staan.
Beleidsroute configureren
Op dit punt hebt u uw VPN geconfigureerd en ingesteld voor Secure Access; nu moet u het verkeer opnieuw routeren naar Secure Access om uw verkeer of toegang tot uw privétoepassingen achter uw FortiGate-firewall te beschermen.
- Navigeer naar
Network > Policy Routes


If Incoming traffic matches
Incoming Interface
: Kies de interface van waaruit u het verkeer wilt omleiden naar Secure Access (oorsprong van het verkeer)
Source Address
IP/Netmask
: Gebruik deze optie als u alleen een subnet van een interface routeert
Addresses
: Gebruik deze optie als u het object hebt gemaakt en de bron van het verkeer afkomstig is van meerdere interfaces en meerdere subnetten
Destination Addresses
Addresses
Kies: all
Protocol
Kies: ANY
Then
Action
: Choose Forward Traffic
Outgoing Interface
: Kies de tunnelinterface die u in de stap hebt gewijzigd, Tunnel-interface configureren
Gateway Address
: Het externe IP-adres configureren dat in de stap is geconfigureerd, RemoteIPNetmask
Status
: Ingeschakeld kiezen
Klik OK
hierop om de configuratie op te slaan. U kunt nu controleren of het verkeer van uw apparaten is omgeleid naar Secure Access.
Verifiëren
Om te controleren of het verkeer van uw machine is omgeleid naar Secure Access, hebt u twee opties; u kunt op internet controleren en controleren op uw openbare IP-adres, of u kunt de volgende opdracht uitvoeren met curl:
C:\Windows\system32>curl ipinfo.io
{
"ip": "151.186.197.1",
"city": "Frankfurt am Main",
"region": "Hesse",
"country": "DE",
"loc": "50.1112,8.6831",
"org": "AS16509 Amazon.com, Inc.",
"postal": "60311",
"timezone": "Europe/Berlin",
"readme": "https://ipinfo.io/missingauth"
}
Het openbare bereik van waar u uw verkeer kunt zien, is van:
Min Host
:151.186.176.1
Max Host
:151.186.207.254
Opmerking: deze IP's kunnen worden gewijzigd, wat betekent dat Cisco dit bereik in de toekomst waarschijnlijk zal uitbreiden.
Als u de wijziging van uw openbare IP ziet, betekent dit dat u wordt beschermd door Secure Access en nu kunt u uw privétoepassing configureren op het Secure Access-dashboard om toegang te krijgen tot uw toepassingen vanuit VPNaaS of ZTNA.