ADC

Configuration d’un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance Fortinet FortiGate

Vous pouvez configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance Fortinet FortiGate pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud. L’appliance NetScaler et l’appliance FortiGate constituent les points de terminaison du tunnel CloudBridge Connector et sont appelées homologues.

Exemple de configuration d’un tunnel CloudBridge Connector

Pour illustrer le flux de trafic dans un tunnel CloudBridge Connector, prenons un exemple dans lequel un tunnel CloudBridge Connector est configuré entre les appareils suivants :

  • Appliance NetScaler NS_Appliance-1 dans un centre de données désigné Datacenter-1
  • FortiGate appliance Fortigate-Appliance-1 dans un centre de données désigné comme Datacenter-2

NS_Appliance-1 et FortiGate-Appliance-1 permettent la communication entre les réseaux privés du Datacenter-1 et du Datacenter-2 via le tunnel CloudBridge Connector. Dans l’exemple, NS_Appliance-1 et FortiGate-Appliance-1 permettent la communication entre le client CL1 dans le Datacenter-1 et le serveur S1 dans le Datacenter-2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Sur NS_Appliance-1, la configuration du tunnel CloudBridge Connector inclut l’entité de profil IPsec NS_Fortinet_IPsec_Profile, l’entité de tunnel du CloudBridge Connector NS_Fortinet_Tunnel et l’entité de routage basé sur des stratégies (PBR) NS_Fortinet_PBR.

Image localisée

Pour plus d’informations, consultez le tableau de configuration du tunnel CloudBridge Connector pdf.

Pour plus d’informations sur les paramètres de Fortinet Fortigate-Appliance-1 dans Datacenter-2, voir le tableau.

Points à considérer pour une configuration de tunnel CloudBridge Connector

Avant de configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance FortiGate, tenez compte des points suivants :

  • Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance FortiGate.

    Propriétés IPSec Paramètres
    Mode IPSec Mode tunnel
    Version IKE Version 1
    Groupe IKE DH DH groupe 2 (algorithme MODP 1024 bits)
    Méthode d’authentification IKE Clé pré-partagée
    Algorithme de chiffrement IKE AES
    algorithme de hachage IKE HMAC SHA1
    Algorithme de chiffrement ESP AES
    Algorithme de hachage ESP HMAC SHA1
  • Vous devez spécifier les mêmes paramètres IPsec sur l’appliance NetScaler et sur l’appliance FortiGate aux deux extrémités du CloudBridge Connector.
  • NetScaler fournit un paramètre commun (dans les profils IPsec) pour spécifier un algorithme de hachage IKE et un algorithme de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithme de chiffrement IKE et un algorithme de cryptage ESP. Par conséquent, dans l’appliance FortiGate, vous devez spécifier le même algorithme de hachage et le même algorithme de chiffrement dans IKE (configuration de phase 1) et ESP (configuration de phase 2).
  • Vous devez configurer le pare-feu côté NetScaler et côté FortiGate pour autoriser ce qui suit.
    • Tous les paquets UDP pour le port 500
    • Tous les paquets UDP pour le port 4500
    • Tous les paquets ESP (numéro de protocole IP 50)
  • L’appliance FortiGate prend en charge deux types de tunnels VPN : basés sur des règles et basés sur des itinéraires. Seul le tunnel VPN basé sur des règles est pris en charge entre une appliance FortiGate et une appliance NetScaler.

Configuration de l’appliance FortiGate pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector sur une appliance FortiGate, utilisez le gestionnaire Web Fortinet, qui est la principale interface utilisateur pour la configuration, la surveillance et la maintenance des appliances FortiGate.

Avant de commencer la configuration du tunnel CloudBridge Connector sur une appliance FortiGate, assurez-vous que :

  • Vous disposez d’un compte utilisateur avec des informations d’identification d’administrateur sur l’appliance FortiGate.
  • Vous connaissez le gestionnaire Web de Fortinet.
  • L’appliance FortiGate est opérationnelle, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.

Remarque

Les procédures de configuration du tunnel CloudBridge Connector sur une appliance FortiGate peuvent changer au fil du temps, en fonction du cycle de publication de Fortinet. Citrix vous recommande de suivre la documentation officielle du produit Fortinet concernant la configuration des tunnels VPN IPSec.

Pour configurer un tunnel de connecteur CloudBridge entre une appliance NetScaler et une appliance FortiGate, effectuez les tâches suivantes sur l’appliance FortiGate à l’aide du gestionnaire Web Fortinet :

  • Activez la fonctionnalité VPN IPsec basée surdes règles. Activez cette fonctionnalité pour créer des tunnels VPN basés sur des règles sur l’appliance FortiGate. Seul le type de tunnel VPN basé sur des règles est pris en charge entre une appliance FortiGate et une appliance NetScaler. Une configuration de tunnel VPN basée sur des règles sur une appliance FortiGate inclut des paramètres de phase 1, des paramètres de phase 2 et une stratégie de sécurité IPsec.
  • Définissez les paramètres de la phase 1. Les paramètres de phase 1 sont utilisés par l’appliance FortiGate pour l’authentification IKE avant de créer un tunnel sécurisé vers l’appliance NetScaler.
  • Définissez les paramètres de la phase 2. Les paramètres de phase 2 sont utilisés par l’appliance FortiGate pour créer un tunnel sécurisé vers l’appliance NetScaler en établissant des associations de sécurité IKE (SA).
  • Spécifiez des sous-réseaux privés. Définissez les sous-réseaux privés côté FortiGate et côté NetScaler dont le trafic IP doit être transporté via le tunnel.
  • Définissez une stratégie de sécurité IPSec pour le tunnel. Une stratégie de sécurité permet au trafic IP de passer d’une interface à l’autre sur une appliance FortiGate. Une stratégie de sécurité IPsec spécifie l’interface vers le sous-réseau privé et l’interface connectant l’appliance NetScaler via le tunnel.

Pour activer la fonctionnalité VPN IPsec basée sur des règles à l’aide du gestionnaire Web Fortinet

  1. Accédez à Système > Configuration > Fonctionnalités.
  2. Sur la page Paramètres de fonctionnalité, sélectionnez Afficher plus et activez le VPN IPSec basé sur des stratégies.

Pour définir les paramètres de la phase 1 à l’aide du gestionnaire Web de Fortinet

  1. Accédez à VPN > IPsec > Auto Key (IKE) et cliquez sur Create Phase1.
  2. Dans la page Nouvelle phase 1, définissez les paramètres suivants :
    • Nom : Entrez un nom pour cette configuration de phase 1.
    • Passerelle distante : sélectionnez Adresse IP statique.
    • Mode : sélectionnez Principal (Protection de l’identification).
    • Méthode d’authentification : sélectionnez la clé prépartagée.
    • Clé pré-partagée : entrez une clé pré-partagée. La même clé pré-partagée doit être configurée sur l’appliance NetScaler.
    • Options homologues : définissez les paramètres IKE suivants pour authentifier une appliance NetScaler.
      • Version IKE : Sélectionnez 1.
      • Configuration du mode : désactivez cette option si elle est sélectionnée.
      • IP de la passerelle locale : sélectionnez l’adresse IP de l’interface principale.
      • Proposition P1 : Sélectionnez les algorithmes de chiffrement et d’authentification pour l’authentification IKE avant de créer un tunnel sécurisé vers l’appliance NetScaler.
        • 1 - Chiffrement : sélectionnez AES128.
        • Authentification : sélectionnez SHA1.
        • Durée de vie de la clé : entrez la durée (en secondes) de la durée de vie de la clé de la phase 1.
        • Groupe DH : Sélectionnez 2.
      • X-Auth : sélectionnez Désactiver.
      • Deed Peer Detection : sélectionnez cette option.
  3. Cliquez sur OK.

Pour spécifier des sous-réseaux privés à l’aide du gestionnaire Web de Fortinet

  1. Accédez à Objets du pare-feu > Adresse > Adresses et sélectionnez Créer un nouveau.
  2. Dans la page Nouvelle adresse, définissez les paramètres suivants :
    • Nom : entrez un nom pour le sous-réseau côté FortiGate.
    • Type : Sélectionnez Sous-réseau.
    • Sous-réseau/Plage d’adresses IP : entrez l’adresse du sous-réseau côté FortiGate.
    • Interface : sélectionnez l’interface locale pour ce sous-réseau.
  3. Cliquez sur OK.
  4. Répétez les étapes 1 à 3 pour spécifier le sous-réseau côté NetScaler.

Pour définir les paramètres de la phase 2 à l’aide du gestionnaire Web de Fortinet

  1. Accédez à VPN > IPsec > Auto Key (IKE) et cliquez sur Create Phase 2.
  2. Dans la page Nouvelle phase 2, définissez les paramètres suivants :
    • Nom : Entrez un nom pour cette configuration de phase 2.
    • Phase 1 : Sélectionnez la configuration de la phase 1 dans la liste déroulante.
  3. Cliquez sur Avancé et définissez les paramètres suivants :
    • Proposition P2 : Sélectionnez les algorithmes de cryptage et d’authentification pour créer un tunnel sécurisé vers l’appliance NetScaler.
      • 1 - Chiffrement : sélectionnez AES128.
      • Authentification : sélectionnez SHA1.
      • Activer la détection des rediffusions : sélectionnez cette option.
      • Activer le secret de transmission parfait (PFS) : sélectionnez cette option.
      • Groupe DH : Sélectionnez 2.
    • Durée de vie de la clé : entrez la durée (en secondes) de la durée de vie de la clé de la phase 2.
    • Autokey Keep Alive : sélectionnez cette option.
    • Négociation automatique : sélectionnez cette option.
    • Sélecteur de mode rapide : Spécifiez les sous-réseaux privés côté FortiGate et côté NetScaler dont le trafic doit être traversé par le tunnel.
      • Adresse source : sélectionnez le sous-réseau côté FortiGate dans la liste déroulante.
      • Port source : Entrez 0.
      • Adresse de destination : sélectionnez le sous-réseau côté NetScaler dans la liste déroulante.
      • Port de destination : entrez 0.
      • Protocole : Entrez 0.
  4. Cliquez sur OK.

Pour définir une stratégie de sécurité IPsec à l’aide du gestionnaire Web de Fortinet

  1. Accédez à Stratégie > Stratégie > Stratégie et cliquez sur Créer une nouvelle.
  2. Dans la page Modifier la stratégie, définissez les paramètres suivants :
    • Type de stratégie : sélectionnez VPN.
    • Sous-type de stratégie : sélectionnez IPsec.
    • Interface locale : sélectionnez l’interface locale vers le réseau interne (privé).
    • Sous-réseau local protégé : sélectionnez le sous-réseau côté FortiGate dans la liste déroulante dont le trafic doit passer par le tunnel.
    • Interface VPN sortante : sélectionnez l’interface locale vers le réseau externe (public).
    • Sous-réseau protégé à distance : sélectionnez le sous-réseau côté NetScaler dans la liste déroulante dont le trafic doit passer par le tunnel.
    • Planification : conservez le paramètre par défaut (toujours) à moins que des modifications ne soient nécessaires pour répondre à des exigences spécifiques.
    • Service : conservez le paramètre par défaut (N’IMPORTELEQUEL) sauf si des modifications sont nécessaires pour répondre à vos besoins spécifiques.
    • Tunnel VPN : sélectionnez Utiliser l’existant et sélectionnez le tunnel dans la liste déroulante.
    • Autoriser le trafic à partir du site distant : sélectionnez si le trafic provenant du réseau distant sera autorisé à démarrer le tunnel.
  3. Cliquez sur OK.

Configuration de l’appliance NetScaler pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance FortiGate, effectuez les tâches suivantes sur l’appliance NetScaler. Vous pouvez utiliser la ligne de commande NetScaler ou l’interface utilisateur graphique (GUI) de NetScaler :

  • Créez un profil IPsec. Une entité de profil IPsec spécifie les paramètres du protocole IPsec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et la méthode d’authentification à utiliser par le protocole IPsec dans le tunnel CloudBridge Connector.
  • Créez un tunnel IP qui utilise le protocole IPsec et associez-y le profil IPsec. Un tunnel IP spécifie l’adresse IP locale (adresse IP du point de terminaison du tunnel CloudBridge Connector (de type SNIP) configurée sur l’appliance NetScaler), l’adresse IP distante (adresse IP du point de terminaison du tunnel CloudBridge Connector configurée sur l’appliance FortiGate), le protocole (IPsec) utilisé pour configurer le tunnel CloudBridge Connector et une entité de profil IPsec. L’entité de tunnel IP créée est également appelée entité de tunnel CloudBridge Connector.
  • Créez une règle PBR et associez-la au tunnel IP. Une entité PBR spécifie un ensemble de règles et une entité de tunnel IP (tunnel CloudBridge Connector). La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Définissez la plage d’adresses IP source pour spécifier le sous-réseau côté NetScaler dont le trafic doit être protégé via le tunnel, et définissez la plage d’adresses IP de destination pour spécifier le sous-réseau côté appliance FortiGate dont le trafic doit être protégé via le tunnel.

Pour créer un profil IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commandes, tapez :

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
  • show ipsec profile <name>

Pour créer un tunnel IPSEC et y lier le profil IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName** <string>
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de la ligne de commande NetScaler

À l’invite de commandes, tapez :

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Pour créer un profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Profil IPsec.
  2. Dans le volet de détails, cliquez sur Ajouter.
  3. Dans la page Ajouter un profil IPSec, définissez les paramètres suivants :
    • Nom
    • Algorithme de chiffrement
    • Algorithme de hachage
    • Version du protocole IKE
    • Perfect Forward Secrecy (Activer ce paramètre)
  4. Configurez la méthode d’authentification IPSec à utiliser par les deux homologues du tunnel CloudBridge Connector pour s’authentifier mutuellement : Sélectionnez la méthode d’authentification par clé pré-partagée et définissez le paramètre Pre-Shared Key Exists .
  5. Cliquez sur Créer, puis sur Fermer.

Pour créer un tunnel IP et y lier le profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Tunnels IP.
  2. Dans l’onglet Tunnels IPv4, cliquez sur Ajouter.
  3. Dans la page Ajouter un tunnel IP, définissez les paramètres suivants :
    • Nom
    • IP distante
    • Masque à distance
    • Type d’adresse IP locale (Dans la liste déroulante Type d’adresse IP locale, sélectionnez Adresse IP du sous-réseau).
    • IP locale (Toutes les adresses IP configurées du type IP sélectionné figurent dans la liste déroulante IP locale. Sélectionnez l’adresse IP souhaitée dans la liste.)
    • Protocole
    • Profil IPSec
  4. Cliquez sur Créer, puis sur Fermer.

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Réseau > PBR.
  2. Dans l’onglet PBR, cliquez sur Ajouter.
  3. Dans la page Créer un PBR, définissez les paramètres suivants :
    • Nom
    • Action
    • Type de saut suivant (sélectionnez le tunnel IP)
    • Nom du tunnel IP
    • IP de la source : faible
    • IP de la source : élevée
    • IP de destination faible
    • IP de destination : élevée
  4. Cliquez sur Créer, puis sur Fermer.

La nouvelle configuration du tunnel CloudBridge Connector correspondante sur l’appliance NetScaler apparaît dans l’interface graphique.

L’état actuel du tunnel du connecteur CloudBridge est affiché dans le volet Configuré du CloudBridge Connector. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Les commandes suivantes créent les paramètres de l’appliance NetScaler NS_Appliance-1 dans « Exemple de configuration CloudBridge Connector ». «

    >  add ipsec profile NS_Fortinet_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE

     Done
    >  add iptunnel NS_Fortinet_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Fortinet_IPSec_Profile

     Done
    > add pbr NS_Fortinet_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Fortinet_Tunnel

     Done
    > apply pbrs

     Done
<!--NeedCopy-->

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance NetScaler à l’aide des compteurs statistiques des tunnels CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques des tunnels CloudBridge Connector sur une appliance NetScaler, consultez la section Surveillance des tunnels CloudBridgeConnector.

Configuration d’un tunnel CloudBridge Connector entre une appliance NetScaler et une appliance Fortinet FortiGate