IPsec VPN0%
بناء الأنفاق المشفرة عبر IPsec VPN على FortiGate
الـ IPsec يبني نفقاً مشفراً بين موقعين أو peers. التفاوض يتم على مرحلتين: IKE Phase 1 يصادق الـ peers ويبني قناة آمنة، و IKE Phase 2 يفاوض على الـ IPsec SAs التي تشفّر الـ data فعلياً. على FortiGate يظهر النفق كـ virtual interface تستخدمه في الـ routing والـ policies.
- 1IKE Phase 1 يصادق الـ peers ويبني الـ secure channel. الـ authentication بـ pre-shared key أو certificates، والـ negotiation إما IKEv1 (main mode أو aggressive mode) أو IKEv2، مع اختيار Diffie-Hellman group لتبادل المفاتيح بأمان.
- 2IKE Phase 2 يفاوض على الـ IPsec SAs التي تشفّر الـ data، مع خيار PFS (Perfect Forward Secrecy) و encryption/authentication algorithms و lifetime يحدد متى تُعاد التفاوض على المفاتيح.
- 3الـ topologies: site-to-site بـ static peers (عناوين IP ثابتة لكلا الطرفين)، و dial-up حيث يكون أحد الطرفين remote/dynamic peer بعنوان متغير (مثل FortiClient أو فرع بـ dynamic IP) يبدأ الاتصال نحو الـ hub.
- 4الـ Dead Peer Detection (DPD) يكتشف انقطاع الطرف الآخر. وضع on idle يرسل probes كلما كان الرابط idle، أما on demand فيرسل DPD probes فقط عند وجود outbound traffic بدون inbound reply — وهذا يقلل عدد الـ probes.
- 5الـ NAT-Traversal (NAT-T) يلزم عندما يكون أحد الـ peers خلف NAT، حيث يُغلّف الـ ESP داخل UDP 4500 لعبور الـ NAT device. والنفق نفسه يظهر كـ virtual interface تربط عليه firewall policies وتضيف routes للوصول للشبكة البعيدة.
🖥️محاكاة واجهة FortiGate (تفاعلية)
واجهة تعليمية مستوحاة من شكل FortiOS — جرّب الأزرار والحقول.
▣ HQ-FGT
+ Add Widget🔍admin ▾
📊Dashboard
🌐Network
🛡️Policy & Objects
🔒Security Profiles
🔑VPN
👥User & Auth
📈Log & Report
⚙️System
VPN › IPsec Monitor
NameRemote GWStatus
to-branch198.51.100.20● Up
to-dr203.0.113.40○ Down
راقب حالة الأنفاق وجرّب تشغيل/إنزال نفق.
مراحل الـ IPsec VPN
IKE Phase 1مصادقة peer وقناة آمنة
IKE Phase 2بناء IPsec SAs مع PFS
نقل البياناتتشفير عبر ESP
🔎تفاصيل أعمق
- الـ Dead Peer Detection يعمل بوضع on-idle عند غياب الترافيك أو on-demand قبل إرسال البيانات، ويُضبط عبر config vpn ipsec phase1-interface و dpd.
- تقنية NAT-T تغلّف حزم ESP داخل UDP 4500 لعبور أجهزة الـ NAT، وتُكتشف الحاجة إليها تلقائيًا خلال تفاوض IKE.
- كل tunnel من نوع route-based يظهر كـ virtual interface قابل للتوجيه، فتضيف عليه static أو dynamic routes تمامًا كأي منفذ مادي.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
اضبط remote-gw على العنوان العام للطرف الآخر و psksecret المشترك.
config vpn ipsec phase1-interface— الدخول إلى قسم الإعدادedit "to-branch"— إنشاء/تعديل كائنset interface "port1"— ضبط قيمة إعدادset ike-version 2— ضبط قيمة إعدادset peertype any— ضبط قيمة إعدادset net-device disable— ضبط قيمة إعدادset proposal aes256-sha256— ضبط قيمة إعدادset dpd on-demand— ضبط قيمة إعدادset remote-gw 203.0.113.10— ضبط قيمة إعدادset psksecret MySecretKey123— ضبط قيمة إعدادnext— حفظ الكائن والعودةend— حفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: إعداد المرحلة الأولى لنفق IPsec بين موقعين
FGT-LAB-01 #
0/12
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
اضبط remote-gw على العنوان العام للطرف الآخر و psksecret المشترك.
📐تحجيم IPsec VPN — معمل تفاعلي
حرّك القيم حسب متطلب العميل — التوصية تتحدّث فورًا.
IPsec throughput2000 Mbps
عدد الأنفاق50
التوصية
FortiGate 80F
IPsec 2000 Mbps و 50 نفق — تأكّد من حدّ الأنفاق للموديل.
⚠️ فخّ تحجيم: بعض الموديلات يحدّها عدد الأنفاق المتزامنة لا الـ throughput — راجِع الاثنين.
أرقام تقديرية للتعلّم — التحجيم الرسمي بالـ datasheet وأدوات Fortinet.
Site-to-Site مقابل Dial-up
Site-to-Site
- ◆نظائر ثابتة fixed peers
- ◆عناوين IP معروفة
- ◆ربط فرع بفرع
- ◆نفق دائم
Dial-up
- ◆عملاء متعددون
- ◆عناوين IP ديناميكية
- ◆وصول remote access
- ◆نفق عند الطلب
💡 نصيحة مقابلة: 💡 سؤال متكرر: ما الفرق بين DPD on idle و on demand؟ الإجابة المختصرة: on demand يرسل probes فقط عند وجود outbound traffic بلا رد، فيقلل الـ probes غير الضرورية على روابط هادئة، عكس on idle الذي يفحص كلما كان الرابط خاملاً.