Configuration d’un tunnel CloudBridge Connector entre une appliance Citrix ADC et fortinet FortiGate

Vous pouvez configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance Fortinet FortiGate pour connecter deux centres de données ou étendre votre réseau à un fournisseur de cloud. L’appliance Citrix ADC et l’appliance FortiGate forment les points d’extrémité du tunnel CloudBridge Connector et sont appelés homologues.

Exemple de configuration d’un tunnel de connecteur CloudBridge

À titre d’illustration du flux de trafic dans un tunnel CloudBridge Connector, considérez un exemple dans lequel un tunnel CloudBridge Connector est configuré entre les périphériques suivants :

  • Appliance Citrix ADC NS_Appliance-1 dans un centre de données désigné comme Datacenter-1
  • FortiGate appliance Fortigate-Appliance-1 dans un centre de données désigné comme Datacenter-2

NS_Appliance-1 et Fortigate-Appliance-1 permettent la communication entre les réseaux privés dans Datacenter-1 et Datacenter-2 via le tunnel CloudBridge Connector. Dans l’exemple, NS_Appliance-1 et Fortigate-Appliance-1 permettent la communication entre le client CL1 dans Datacenter-1 et le serveur S1 dans Datacenter-2 via le tunnel CloudBridge Connector. Le client CL1 et le serveur S1 se trouvent sur différents réseaux privés.

Sur NS_Appliance-1, la configuration du tunnel du Connecteur CloudBridge inclut l’entité de profil IPSec NS_Fortinet_IPSEC_Profile, l’entité de tunnel du Connecteur CloudBridge NS_Fortinet_Tunnel et l’entité de routage basé sur des stratégies (PBR) NS_Fortinet_PBR.

image localisée

Pour plus d’informations, voir le pdf Table de configuration du tunnel CloudBridge Connector.

Pour plus d’informations sur les paramètres de Fortinet Fortigate-Appliance-1 dans Datacenter-2, reportez-vous à la section tableau.

Points à considérer pour une configuration de tunnel CloudBridge Connector

Les paramètres IPsec suivants sont pris en charge pour un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance FortiGate.

Propriétés IPsec Paramètre
Mode IPsec Mode tunnel
Version IKE Version 1
Méthode d’authentification IKE Clé pré-partagée
Algorithme de chiffrement IKE AES
Algorithme de hachage IKE HMAC SHA1
Algorithme de chiffrement ESP AES
Algorithme de hachage ESP HMAC SHA1
  • Vous devez spécifier les mêmes paramètres IPSec sur l’appliance Citrix ADC et l’appliance FortiGate aux deux extrémités du connecteur CloudBridge.
  • Citrix ADC fournit un paramètre commun (dans les profils IPSec) pour spécifier un algorithme de hachage IKE et un algorithme de hachage ESP. Il fournit également un autre paramètre commun pour spécifier un algorithme de chiffrement IKE et un algorithme de chiffrement ESP. Par conséquent, dans l’appliance FortiGate, vous devez spécifier le même algorithme de hachage et le même algorithme de chiffrement dans IKE (configuration de phase 1) et ESP (configuration de phase 2).
  • Vous devez configurer le pare-feu à l’extrémité Citrix ADC et FortiGate pour autoriser ce qui suit.
    • Tous les paquets UDP pour le port 500
    • Tous les paquets UDP pour le port 4500
    • Tous les paquets ESP (numéro de protocole IP 50)
  • L’appliance FortiGate prend en charge deux types de tunnels VPN : basés sur des stratégies et basés sur des routes. Seul un tunnel VPN basé sur des stratégies est pris en charge entre une appliance FortiGate et une appliance Citrix ADC.

Configuration de l’appliance FortiGate pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector sur une appliance FortiGate, utilisez le gestionnaire Web Fortinet, qui est l’interface utilisateur principale pour la configuration, la surveillance et la maintenance des appliances FortiGate.

Avant de commencer la configuration du tunnel CloudBridge Connector sur une appliance FortiGate, assurez-vous que :

  • Vous disposez d’un compte d’utilisateur avec des informations d’identification d’administrateur sur l’appliance FortiGate.
  • Vous connaissez le gestionnaire basé sur le Web Fortinet.
  • L’appliance FortiGate est mise en service, est connectée à Internet et est également connectée aux sous-réseaux privés dont le trafic doit être protégé via le tunnel CloudBridge Connector.

Remarque

Les procédures de configuration du tunnel CloudBridge Connector sur une appliance FortiGate peuvent changer au fil du temps, en fonction du cycle de publication de Fortinet. Citrix vous recommande de suivre la documentation officielle du produit Fortinet pourConfiguration des tunnels VPN IPSec.

Pour configurer un tunnel de connecteur CloudBridge entre une appliance Citrix ADC et une appliance FortiGate, effectuez les tâches suivantes sur l’appliance FortiGate à l’aide du gestionnaire Web Fortinet :

  • Activer la fonctionnalité VPN IPSec basée surdes stratégies. Activez cette fonctionnalité pour créer des tunnels VPN basés sur des stratégies sur l’appliance FortiGate. Seul le type de tunnel VPN basé sur des stratégies est pris en charge entre une appliance FortiGate et une appliance Citrix ADC. Une configuration de tunnel VPN basée sur des stratégies sur une appliance FortiGate inclut des paramètres de phase 1, de phase 2 et d’une stratégie de sécurité IPsec.
  • Définissez les paramètres de la phase 1. Les paramètres de phase 1 sont utilisés par l’appliance FortiGate pour l’authentification IKE avant de former un tunnel sécurisé vers l’appliance Citrix ADC.
  • Définissez les paramètres de la phase 2. Les paramètres de phase 2 sont utilisés par l’appliance FortiGate pour former un tunnel sécurisé vers l’appliance Citrix ADC en établissant des associations de sécurité IKE (SA).
  • Spécifiez les sous-réseaux privés. Définissez les sous-réseaux privés côté Fortigate et Citrix côté ADC dont le trafic IP doit être transporté par le tunnel.
  • Définissez une stratégie de sécurité IPSec pour le tunnel. Une stratégie de sécurité permet au trafic IP de passer entre les interfaces sur une appliance FortiGate. Une stratégie de sécurité IPSec spécifie l’interface vers le sous-réseau privé et l’interface reliant l’appliance Citrix ADC via le tunnel.

Pour activer la fonctionnalité VPN IPSec basée sur une stratégie à l’aide du Gestionnaire basé sur le Web Fortinet

  1. Accédez à Système > Config > Fonctionnalités.
  2. Sur la page Paramètres de fonctionnalité, sélectionnez Afficher plus et activez le VPN IPSec basé sur des stratégies.

Pour définir des paramètres de phase 1 à l’aide du gestionnaire Web Fortinet

  1. Accédez à VPN > IPsec > Auto Key (IKE) et cliquez sur Create Phase1.
  2. Dans la page Nouvelle phase 1, définissez les paramètres suivants :
    • Nom : Entrez un nom pour cette configuration de phase 1.
    • Passerelle distante : sélectionnez Adresse IP statique.
    • Mode : sélectionnez Principal (Protection de l’ID).
    • Méthode d’authentification : sélectionnez Clé pré-partagée.
    • Clé pré-partagée : Entrez une clé pré-partagée. La même clé pré-partagée doit être configurée sur l’appliance Citrix ADC.
    • Options homologues : définissez les paramètres IKE suivants pour l’authentification d’une appliance Citrix ADC.
      • Version IKE : Sélectionnez 1.
      • Mode Config : désactivez cette option si elle est sélectionnée.
      • IP de la passerelle locale : sélectionnez IP de l’interface principale.
      • Proposition P1 : Sélectionnez les algorithmes de chiffrement et d’authentification pour l’authentification IKE avant de former un tunnel sécurisé vers l’appliance Citrix ADC.
        • 1 - Chiffrement : sélectionnez AES128.
        • Authentification : sélectionnez SHA1.
        • Vie des clés : Entrez un délai (en secondes) pour la durée de vie de la clé de phase 1.
        • Groupe DH : Sélectionnez 2.
      • X-Auth : sélectionnez Désactiver.
      • Deed Peer Detection : sélectionnez cette option.
  3. Cliquez sur OK.

Pour spécifier des sous-réseaux privés à l’aide du Gestionnaire basé sur le Web Fortinet

  1. Accédez à Objets pare-feu > Adresse > Adresses et sélectionnez Créer un nouveau.
  2. Dans la page Nouvelle adresse, définissez les paramètres suivants :
    • Nom : Entrez un nom pour le sous-réseau côté Fortigate.
    • Type : Sélectionnez Sous-réseau.
    • Sous-réseau/Plage IP : Entrez l’adresse du sous-réseau côté Fortigate.
    • Interface : sélectionnez l’interface locale de ce sous-réseau.
  3. Cliquez sur OK.
  4. Répétez les étapes 1 à 3 pour spécifier le sous-réseau côté ADC Citrix.

Pour définir des paramètres de phase 2 à l’aide du gestionnaire Web Fortinet

  1. Accédez à VPN > IPSec > Auto Key (IKE) et cliquez sur Créer Phase 2.
  2. Dans la page Nouvelle phase 2, définissez les paramètres suivants :
    • Nom : Entrez un nom pour cette configuration de phase 2.
    • Phase 1 : Sélectionnez la configuration Phase 1 dans la liste déroulante.
  3. Cliquez sur Avancé et définissez les paramètres suivants :
    • Proposition P2 : sélectionnez les algorithmes de chiffrement et d’authentification pour former un tunnel sécurisé vers l’appliance Citrix ADC.
      • 1 - Chiffrement : sélectionnez AES128.
      • Authentification : sélectionnez SHA1.
      • Activer la détection de relecture : sélectionnez cette option.
      • Activer le secret avant parfait (PFS) : sélectionnez cette option.
      • Groupe DH : Sélectionnez 2.
    • Vie des clés : Entrez un délai (en secondes) pour la durée de vie de la clé de phase 2.
    • Autokey Keep Alive : sélectionnez cette option.
    • Négociation automatique : sélectionnez cette option.
    • Sélecteur de mode rapide : spécifiez les sous-réseaux privés côté Fortigate et Citrix côté ADC dont le trafic doit être traversé par le tunnel.
      • Adresse source : sélectionnez le sous-réseau côté Fortigate dans la liste déroulante.
      • Port source : saisissez 0.
      • Adresse de destination : sélectionnez le sous-réseau Citrix côté ADC dans la liste déroulante.
      • Port de destination : Entrez 0.
      • Protocole : Entrez 0.
  4. Cliquez sur OK.

Pour définir une stratégie de sécurité IPSec à l’aide du Gestionnaire basé sur le Web Fortinet

  1. Accédez à Stratégie > Stratégie > Stratégie, puis cliquez sur Créer un nouveau.
  2. Dans la page Modifier la stratégie, définissez les paramètres suivants :
    • Type de stratégie : sélectionnez VPN.
    • Sous-type de stratégie : sélectionnez IPSec.
    • Interface locale : sélectionnez l’interface locale du réseau interne (privé).
    • Sous-réseau protégé local : sélectionnez le sous-réseau côté Fortigate dans la liste déroulante dont le trafic doit être traversé par le tunnel.
    • Interface VPN sortante : sélectionnez l’interface locale vers le réseau externe (public).
    • Sous-réseau protégé à distance : sélectionnez le sous-réseau Citrix côté ADC dans la liste déroulante dont le trafic doit être traversé par le tunnel.
    • Planification : conservez le paramètre par défaut (toujours) sauf si des modifications sont nécessaires pour répondre à des exigences spécifiques.
    • Service : Conservez le paramètre par défaut (ANY) sauf si des modifications sont nécessaires pour répondre à vos besoins spécifiques.
    • Tunnel VPN : sélectionnez Utiliser l’existant et sélectionnez le tunnel dans la liste déroulante.
    • Autoriser l’initialisation du trafic à partir du site distant : sélectionnez si le trafic provenant du réseau distant sera autorisé à initier le tunnel.
  3. Cliquez sur OK.

Configuration de l’appliance Citrix ADC pour le tunnel CloudBridge Connector

Pour configurer un tunnel CloudBridge Connector entre une appliance Citrix ADC et une appliance FortiGate, effectuez les tâches suivantes sur l’appliance Citrix ADC. Vous pouvez utiliser la ligne de commande Citrix ADC ou l’interface utilisateur graphique (GUI) Citrix ADC :

  • Créez un profil IPSec. Une entité de profil IPsec spécifie les paramètres du protocole IPSec, tels que la version IKE, l’algorithme de chiffrement, l’algorithme de hachage et la méthode d’authentification à utiliser par le protocole IPSec dans le tunnel CloudBridge Connector.
  • Créez un tunnel IP qui utilise le protocole IPSec et associez le profil IPSec à celui-ci. Un tunnel IP spécifie l’adresse IP locale (adresse IP du point de terminaison du tunnel CloudBridge Connector (de type SNIP) configurée sur l’appliance Citrix ADC), l’adresse IP distante (adresse IP du point de terminaison du tunnel CloudBridge Connector configurée sur l’appliance FortiGate), le protocole (IPsec) utilisé pour configurer CloudBridge Tunnel de connecteur et une entité de profil IPsec. L’entité de tunnel IP créée est également appelée entité de tunnel CloudBridge Connector.
  • Créez une règle PBR et associez-la au tunnel IP. Une entité PBR spécifie un ensemble de règles et une entité tunnel IP (tunnel CloudBridge Connector). La plage d’adresses IP source et la plage d’adresses IP de destination sont les conditions de l’entité PBR. Définissez la plage d’adresses IP source pour spécifier le sous-réseau côté Citrix ADC dont le trafic doit être protégé sur le tunnel, et définissez la plage d’adresses IP de destination pour spécifier le sous-réseau côté appliance FortiGate dont le trafic doit être protégé sur le tunnel.

Pour créer un profil IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add ipsec profile <name> -psk <string> -ikeVersion v1 -encAlgo AES -hashAlgo HMAC_SHA1 -perfectForwardSecrecy ENABLE
  • show ipsec profile <name>

Pour créer un tunnel IPSEC et lier le profil IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add ipTunnel <name> <remote> <remoteSubnetMask> <local> -protocol IPSEC –ipsecProfileName** <string>
  • show ipTunnel <name>

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de la ligne de commande Citrix ADC

À l’invite de commandes, tapez :

  • add pbr <pbrName> ALLOW –srcIP <subnet-range> -destIP <subnet-range> -ipTunnel <tunnelName>
  • apply pbrs
  • show pbr <pbrName>

Pour créer un profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Profil IPsec.
  2. Dans le volet d’informations, cliquez sur Ajouter.
  3. Dans la page Ajouter un profil IPSec, définissez les paramètres suivants :
    • Nom
    • Algorithme de chiffrement
    • Algorithme de hachage
    • Version du protocole IKE
    • Perfect Forward Secrecy (Activer ce paramètre)
  4. Configurez la méthode d’authentification IPSec à utiliser par les deux homologues de tunnel CloudBridge Connector pour s’authentifier mutuellement : sélectionnez la méthode d’authentification par clé pré-partagée et définissez le paramètre Pré-partagée Key Exists.
  5. Cliquez sur Créer, puis sur Fermer.

Pour créer un tunnel IP et lier le profil IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > CloudBridge Connector > Tunnels IP.
  2. Sous l’onglet Tunnels IPv4, cliquez sur Ajouter.
  3. Dans la page Ajouter un tunnel IP, définissez les paramètres suivants :
    • Nom
    • IP distante
    • Masque distant
    • Type IP local (dans la liste déroulante Type IP local, sélectionnez IP du sous-réseau).
    • IP locale (Toutes les adresses IP configurées du type IP sélectionné se trouvent dans la liste déroulante IP locale. Sélectionnez l’adresse IP souhaitée dans la liste.)
    • Protocole
    • Profil IPsec
  4. Cliquez sur Créer, puis sur Fermer.

Pour créer une règle PBR et y lier le tunnel IPSEC à l’aide de l’interface graphique

  1. Accédez à Système > Réseau > PBR.
  2. Sous l’onglet PBR, cliquez sur Ajouter.
  3. Dans la page Créer PBR, définissez les paramètres suivants :
    • Nom
    • Action
    • Type de saut suivant (Select IP Tunnel)
    • Nom du tunnel IP
    • IP source Faible
    • IP source élevée
    • IP de destination faible
    • IP de destination élevée
  4. Cliquez sur Créer, puis sur Fermer.

La nouvelle configuration de tunnel CloudBridge Connector correspondante sur l’appliance Citrix ADC apparaît dans l’interface graphique.

L’état actuel du tunnel de connecteur CloudBridge est affiché dans le volet CloudBridge Connector configuré. Un point vert indique que le tunnel est actif. Un point rouge indique que le tunnel est arrêté.

Les commandes suivantes créent les paramètres de l’appliance Citrix ADC NS_Appliance-1 dans “Exemple de configuration du connecteur CloudBridge.”

    >  add ipsec profile NS_Fortinet_IPSec_Profile -psk  examplepresharedkey -ikeVersion v1 –encAlgo AES –hashalgo HMAC_SHA1 –lifetime 315360 -perfectForwardSecrecy ENABLE

     Done
    >  add iptunnel NS_Fortinet_Tunnel 203.0.113.200 255.255.255.255 198.51.100.100 –protocol IPSEC –ipsecProfileName NS_Fortinet_IPSec_Profile

     Done
    > add pbr NS_Fortinet_Pbr -srcIP 10.102.147.0-10.102.147.255 –destIP 10.20.0.0-10.20.255.255 –ipTunnel NS_Fortinet_Tunnel

     Done
    > apply pbrs

     Done

Surveillance du tunnel CloudBridge Connector

Vous pouvez surveiller les performances des tunnels CloudBridge Connector sur une appliance Citrix ADC à l’aide des compteurs statistiques de tunnel CloudBridge Connector. Pour plus d’informations sur l’affichage des statistiques de tunnel CloudBridge Connector sur une appliance Citrix ADC, reportez-vous à la section Surveillance des tunnels CloudBridge Connector.