Topology
Local Subnet <-- On Premise (NSF) <---> MCS (vNGAF ใน VPC) --> Subnet ต่างๆใน VPC
10.69.255.0/24 (On Premise Subnet)
10.72.255.0/24 (Cloud Subnet)
Background
- Network Secure (NSF) - version 8.0.85
- Virtual NGAF บน MCS - version 8.0.26 ตรวจสอบให้มี Branch License
การตั้งค่าฝั่ง MCS (Virtual NGAF version 8.0.26)
1. ตรวจสอบว่ามี Elastic IP อยู่บน VPC Gateway (กด Setting ขวาล่าง)
- ตรวจสอบว่ามีการ Initial NGAF ขึ้นมาแล้ว ให้ตรวจสอบ Mgmt Interface IP
2. ตรวจสอบการตั้งค่า Destination NAT สำหรับ Port IPSEC ไปยัง Virtual NGAF
โดยจะเป็น UDP Port 500, 4500
3. กด Web Console ที่ตัว Virtual NGAF
4. ไปที่ Network >Interface > Physical Interface > กดที่ eth1 (ที่มี IP ที่ด้านนอกเขียนว่าเป็น Mgmt Interface) ที่ทำ DNAT เข้ามา
- กด Enable IPSec VPN outgoing line (Line 1)
5. ไปที่ Network > IPSecVPN > Status > กด Enable VPN
6. ไปที่ VPN Interface > กด Add > เลือก Interface ที่เป็น Zone LAN เช่น eth2
จากนั้นกด OK ด้านล่าง เพื่อ Save
7. ตั้งค่า Third-Party Connection (ฝั่ง Virtual NGAF บน MCS)
ในหน้า Basic (Phase 1 - Part 1/2)
- Device Name
- Peer IP Address Type
- Peer IP Address
- Pre-Shared Key
ส่วนของ Traffic Encryption ด้านล่าง (Phase 2)
- Local IP Address - Subnet ที่อยู่ฝั่งตัวเอง
- Peer IP Address - Subnet ที่อยู่ฝั่งตรงข้าม
- Security Proposal ในส่วนของ Phase 2 (จะต้องตั้งค่าให้เหมือนกันทั้ง 2 ฝั่ง)
ไปที่ Tab IKE Options (Phase 1 - Part 2/2)
- เลือก IKE Version
- ตั้งค่า Local ID Type และ Local ID
- ตั้งค่า Peer ID Type และ Peer ID
- กรอกข้อมูล D-H Group, DPD, Detection Interval, Max Attempt (ให้ตรงกับฝั่งตรงข้าม)
- กรอก Security Proposal สำหรับ Phase 1 ให้ตรงกับฝั่งตรงข้าม
- จากนั้นกด Save
8. ตรวจสอบ Log หาก Tunnel ไม่Up
ไปที่ Systems > Troubleshooting > Logs
- กด Options > เลือก Log Type ที่ต้องการจาก VPN Service
- หากมี Error ว่าไม่พบ Security Proposal ให้ทดลองลบแล้วสร้าง Connection ใหม่ที่ฝั่ง Virtual NGAF
การตั้งค่าฝั่ง On-Premise (Network Secure version 8.0.85)
1. ไปที่ Network > Sangfor/IPSec VPN > VPN Status > กด Enable VPN Service
2. ไปที่ Sangfor/IPSec VPN > General Settings > VPN Path > กด Add > เลือก WAN Interface ที่ต้องการใช้สำหรับ VPN
3. ไปที่ IPSec VPN > กด Add Connection > กรอกข้อมูล
3. การตรวจสอบ Log ไปที่ VPN Logs
เลือก Log Type ที่ต้องการจาก Filter
ตรวจสอบ Tunnel ว่า Up ปกติ
1. ตรวจสอบจาก WebUI
2. Ping จาก On Premise ไปบน MCS Subnet
3. Ping จาก MCS Subnet ลงมา On Premise
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น