メインコンテンツまでスキップ

Connect Checkpoint R8120

Bài viết này hướng dẫn build thiết bị Router để đấu nối VPN_S2S với dịch vụ VPN Site-to-Site của FPT Smart Cloud.

Cần đảm bảo các điều kiện sau:

  • VPN Site-to-Site trên trang portal
  • CheckPoint R81.20 đã được download và boot image trên cloud với tên: Check_Point_R82.10_T462_Gaia
  • Smartconsole phiên bản R81.20 đã được tích hợp với CheckPoint R81.20
  • Public IP, giảm độ phức tạp thì gắn trực tiếp vào VM, không dùng Floating IP
  • 1 VM Pfsense để phục vụ debug (Optional)

Bước 1: Build CheckPoint for Cloud

  • Build Image trên Horizon với cấu hình 2C4G- 1 IP public gắn trực tiếp, 1IP mạng Local cần VPN

Chạy các command sau để boot VM từ image:

Openstack command

Copyopenstack volume create --type Premium-SSD --image Check_Point_R82.10_T462_Gaia --size 20 --bootable DISK-CD  -- Output ID  {`DISK-CD`}

Openstack command

Copyopenstack volume create --type Premium-SSD --size 100 --bootable DISK-OS-- Output ID  {`DISK-OS`}

Openstack command

Copyopenstack network list
--output ID {'IP PUBLIC'}

Openstack command

Copynova boot --availability-zone nova --flavor 2C4G --nic net-id={`IP PUBLIC`} --block-device id=`DISK-OS`},source=volume,dest=volume,bus=virtio,device=/dev/vda,shutdown=preserve,bootindex=0 --block-device id= {`DISK-CD`},source=volume,dest=volume,bus=ide,device=/dev/hda,type=cdrom,bootindex=1 CheckpointServer
  • Để boot VM trên NoVNC, thao tác theo hướng dẫn sau:
  • Chọn Install Gaia on this system
    file
  • Chọn OK file - Tại màn Keyboard Selection, chọn US→ OK file - Chọn OK.
    (Có thể nhập cấu hình phù hợp hoặc chọn cấu hình default sẵn có) file - Nhập password đăng nhập cho giao diện console VM file
  • Nhập password cho Smartconsole file - Nhập IP public gắn trực tiếp đã request ở đầu phần này + Netmask là "255.255.255.255" và sau đó chọn OK. file - Hoàn thành quá trình cài đặt. file

Bước 2: Cấu hình cho VPN Site-to-Site

Truy cập và tạo VPN Site To Site trên trang https://console.fptcloud.com/

  • Tạo Customer Gateway: - Remote private network: dãy Lan Subnet cần peering của Checkpoint
    - Remote IP public: IP public của CheckPoint

  • Tạo VPN Connection: Thông số của VPN Connection sẽ bao gồm 3 mục chính:
    • General information (chứa các thông tin chung của kết nối VPN)
    • Remote VPN Information (chứa các thông tin mã hóa và thông tin của quý khách hàng)
    • Dead Peer Detection (số lần hệ thống tự động retry kết nối khi bị vấn đề)

Phần 1: General information Với thông số "Pre-shared key" cần lưu lại để điền vào CheckPoint. Phần 2: Remote VPN information Quý khách hàng lựa chọn Providers = “others" sau đó làm theo các bước sau:

  • Bước 1: Điền providers name = "checkpoint"
  • Bước 2: Điền thông tin cho IKE và IPSec cụ thể như sau:

Đối với IKE:

  • Authorization algorithm: sha256
  • Encryption algorithm: aes 256
  • IKE version: ikev2
  • DH group: group14
  • Lifetime: 3600 seconds
  • Phase1 negotiation mode: main

Đối với IPsec:

  • Authorization algorithm: sha256
  • Encryption algorithm: aes 256
  • Encapsulation mode: tunnel
  • Transform protocol: esp
  • Perfect Forward Secrecy (PFS): group14
  • Lifetime: 3600 seconds

Phần 3: Remote VPN information Điền thông số Delay và max failure và chọn Create VPN Connection

Bước 3: Cấu hình cho CheckPoint

  • Đăng nhập vào console VNC của VM CheckPoint theo account đã tạo trên và chạy lệnh: "Cpstart"
  • Đăng nhập vào website theo địa chỉ IP: https://{IP} và tải về SmartConsole theo link với phiên bản mà trang web đề xuất
  • Cài đặt và đăng nhập app SmartConsole theo thông tin đã được cung cấp
    Lưu ý: có license đã kích hoạt mới có thể vào được trong SmartConsole Thac tác thành công hiển thị như ảnh dưới đây: file - Tạo network LAN file - Tạo Interoperable Devices với IP Public của VPN Site-to-Site thao tác như sau: Tại New→ More → Network Object → More → Interoperable Device file Thực hiện điền các thông tin: Name, IPv4 Address và chọn OK file file - Tạo VPN Communication Star thao tác như sau: Tại New → More → VPN Community → Star Community file - Với các thông như bên dưới:
    • Chọn Center Gateway có tên: CheckPoint (ta vừa tạo ở trên)
    • Chọn Satellite Gateway là Interoperable Devices
    • Chọn VPN Domain là các dãy mạng tương ứng Lan/local và Remote/peer file file
    • Chọn cấu hình Encryption tương xứng như mục đã chọn ở portal của FPT Smart Cloud, mẫu như sau: file file - Sau khi tạo VPN Community, ta quay ngược trở lại Interoperable Devices để cập nhật: file - Quay trở lại VPN Communication Meshed, dùng Pre-Share Key đã tạo ở portal của VPN Site-to-Site file
    • Sau đó ấn chọn "Publish" tiến hành tạo ra VPN Community trên Checkpoint file - Thiết lập firewall cho thông 2 chiều giữa 2 subnet và thông 2 chiều giữa 2 IP Gateway như hình sau, sau đó ấn chọn "Publish"
      file
    • Cuối cùng là set route cho mạng bên trong Checkpoint (phía VPN Site-to-Site đã được set sẵn)

Trên CheckPoint Gaia OS, bạn có thể sử dụng lệnh set static-route để thêm route. Dưới đây là cú pháp và ví dụ:

Openstack command

Copyset static-route <destination-network> nexthop gateway address <gateway-ip> on

Ví dụ: Để định tuyến lưu lượng đến mạng 192.168.1.0/24 qua gateway 10.0.0.1, sử dụng:

Openstack command

Copyset static-route 192.168.1.0/24 nexthop gateway address 10.0.0.1 on

Sau khi thêm route, hãy chạy lệnh sau để lưu lại cấu hình:

Openstack command

Copysave config

Bước 4: Debug- Tracert

  • Thử từ một máy trong mạng và thực hiện ping lẫn nhau, nếu đã thông thì thực hiện thao tác thành công.