Fortigate VM Laborsetup mit Multi-WAN und IPSEC Failover mit OSPF

fortinet-logo2Da ich wohl in Zukunft vermehrt mit Produkten von Fortinet arbeiten werde, habe ich mich entschlossen ein Laborsetup unter VMware zu installieren und Fortigate als VM Appliance ausgiebig zu testen. Der geneigte Leser kennt sicherlich meine Vorliebe für Multi-WAN, IPSEC und OSPF basierende Testaufbauten 😉 Warum also hier was anderes als Spielwiese nehmen? Als erste Hürde muß man jedoch erst mal einen Testkey über einen Fortinet-Partner besorgen. Denn ohne das man einen Key im Portal registriert, kann man die VM nicht downloaden.
Nach erfolgreichem Download war ich überrascht, dass gerade mal schlanke 33 MB OVF Vorlage ausreichen sollten, um eine virtuelle Firewall zu erzeugen. Das Bereitstellen war ein Kinderspiel und schon in wenigen Sekunden war die erste Fortigate Appliance bereit für die Grundeinrichtung. Hierzu schnell eine kleine Textbox wie man die IP, DNS und Gateway über die CLI einstellt. Dies ist sehr wichtig, denn die Fortigate Firewall will den Registrierungskey über das Internet auf den Fortinetservern überprüfen. Vorher kann man mit der Appliance nicht arbeiten. Der erste Login ist „admin“ mit leerem Passwort.

Nun kann man sich über die HTTP Weboberfläche anmelden und den Lizenzkey uploaden. In vielen Setups werden die Firewalls direkt mit einem L2 Netz verbunden um das WAN zu simulieren. Ich nutze hier wie immer eine Ubuntu VM als virtuellen L3 Router mit vier Interfaces und vier getrennten Subnetzen. Nur so kann man testen ob IPSEC und OSPF richtig zusammenarbeiten. Ich hatte schon öfters gesehen das OSPF über die normale L2 Verbindung geroutet hat und die Admins in dem falschen Glauben waren es würde über den IPSEC Tunnel gehen. Bauen wir zunächst zwischen den beiden Fortigates eine VPN Verbindung auf. Der Wizard macht das zum Kinderspiel:

VPN-Wizard

Nach der Konvertierung in einen „Custom Tunnel“ bleiben jedoch keine Wünsche offen. Hier kann der advanced Admin alles Einstellen was das Herz begehrt:

VPN-Wizard-2

Nachdem wir zwei Tunnel zwischen jeweils zwei WAN Interfaces erstellt haben können wir fortfahren….. Für OSPF benötigt man immer ein L2 Device. Dieses wird meistens durch einen GRE Tunnel bereitgestellt. Nach dem der VPN Tunnel über den Wizard erstellt wurde, findet man unter System > Network > Interfaces ein „Tunnel-1“ Interface. Ich nehme an, das es sich hierbei um ein GRE Interface handelt. Bitte korrigiert mich über die Kommentarfunktion!

Interface_Tunnel1

Diesem Interface muß natürlich noch eine Point-2-Point Adresse konfiguriert werden:

Interface_Tunnel1-p2p

Nun haben wir zwischen den beiden Fortigates einen IPSEC Tunnel mit zwei Tunnelendpunkten. Diese werden im nächsten Schritt für das OSPF benötigt. Unter Router > Dynamic > OSPF legen wir einfach mal eine Backbone Area an und nehmen die Interfaces des Tunnels und vom internen Netz darin auf. Warum an das Tunnel Netzwerk unter Networks anlegen muß erschliesst sich mir noch nicht so ganz. Dadurch das das Interface in der Area vorhanden ist, sollte dieses Netzwerk automatisch redistributiert werden. Achja – wir wählen Connected bei Redistribute an, damit werden die internen Netze ins OSPF weitergegeben:

OSPF-1

Nun hat man ein redundantes IPSEC VPN mit dynamischem Routing aufgebaut. Viel Spaß beim Testen! Nachlesen kann man das ganze in der KB von Fortinet. Hier muß ich mal ein Lob aussprechen: Die Dokumentation ist gegenüber anderen Anbietern vorbildlich geführt und mit vielen Beispielen versehen (Hallo Sophos!).
Authorisierter Fortinet Partner im Saarland ist die KFK GmbH. Bitte fragen Sie hier nach Testkeys und Angeboten für die Umsetzung in ihrem Netzwerk:

KFK-Logo