Fortinet Tech
IPsec-VPN:
FortiGate zu FortiGate – Konfigurations-Wizard
In diesem Beitrag soll eine VPN-Verbindung zwischen zwei FortiGates, mit Hilfe des Konfigurations-Wizards, aufgebaut werden. Dieses Profil unterscheidet sich vom benutzerdefinierten Profil durch eine geführte Einrichtung mit begrenzten Anpassungsmöglichkeiten sowie durch die automatische Erstellung von Subnetzgruppen, statischen Routen und Firewall-Richtlinien, was eine schnelle und einfache Einrichtung von VPN-Verbindungen ermöglicht.
Mehr Erfahren
VPN – Topologie

Erstellen des VPN-Tunnels
Zunächst wird der VPN-Tunnel benannt und das NAT konfiguriert.
VPN > IPsec Wizard

Im nächsten Schritt wird die Ziel-Adresse eingegeben, sowie das Interface worüber diese erreicht werden kann. Des Weiteren wird der Pre-shared Key eingegeben.

Jetzt wird das lokale Subnetz und dessen Port angegeben, sowie das Subnetz des VPN-Partners.

Mit dem „Create“ Button lässt sich die Einrichtung abschließen.

Statische Routen, Remote-Adressgruppen sowie Firewall-Regeln werden automatisch erstellt.
Network > Static Routes

Policy & Objects > Addresses

Policy & Objects > Firewall Policy

Überprüfung des VPN-Tunnels
Um den Zustand des VPN-Tunnels zu überprüfen, müssen ein neues Dashboard-Widget namens IPsec hinzugefügt werden.
Dashboard > Status > Add Widget

Jetzt lässt sich der Status von Phase 1 und Phase 2 überprüfen.

Anschließend kann die Verbindung mit einem einfachen Ping getestet werden. Phase 2 sollte automatisch hochfahren, vorausgesetzt, Phase 1 ist ordnungsgemäß hochgefahren.

FortiGate zu FortiGate – Custom Profil
Dies wird eine kurze Einführung in die Einrichtung einer VPN-Verbindung zwischen zwei FortiGates unter Verwendung des benutzerdefinierten Profils sein. Dieses Profil bietet umfangreiche Anpassungsoptionen für Phase-1- und Phase-2-Verschlüsselung, NAT-Traversal und andere. Insbesondere müssen Subnetzgruppen, statische Routen und Firewall-Richtlinien manuell erstellt werden.
Mehr Erfahren
VPN – Topologie

VPN – Datenblatt
FortiGate SiteB | FortiGate SiteC | |
Remote IP address | 10.10.10.81 | 10.10.10.82 |
Outgoing Port | Port10 | Port10 |
Local Subnet-Port | 192.168.82.0/24-Port1 | 192.168.81.0/24-Port1 |
Remote Subnet | 192.168.81.0/24 | 192.168.82.0/24 |
Phase 1 | ||
Pre-shared Key | Test123 | Test123 |
IKE-Version | 2 | 2 |
Encryption/Authentication | DES/SHA512 | DES/SHA512 |
Diffie-Hellman Group | 14 | 14 |
Key-Lifetime (Sekunden) | 86400 | 86400 |
Phase 2 | ||
Encryption/Authentication | DES/SHA512 | DES/SHA512 |
Diffie-Hellman Group | 14 | 14 |
Key-Lifetime (Sekunden) | 43200 | 43200 |
Erstellen des VPN-Tunnels
Zunächst wird der VPN-Tunnel benannt.
VPN > IPsec Wizard

Danach wird die IP-Adresse des Remote-Gateways und die ausgehende Schnittstelle eingegeben.

Jetzt wird der Pre-Shared Key, dem Sie zugestimmt haben, sowie die IKE-Version angegeben.

Als nächstes wird für Phase 1 die Verschlüsselung und Authentifizierung, sowie die Diffie-Hellman-Gruppe und die Gültigkeit des Schlüssels ausgewählt.

Für Phase 2 wird der Adressbereich des lokalen und externen Netzwerkes angegeben.

In den Advanced Options, wird wieder die Verschlüsselung und Authentifizierungsmethode, sowie die Diffie-Hellman Group und die Schlüsselgültigkeit angegeben.

Im nächsten Schritt werden die Adressobjekte angelegt:
Policy & Objects > Addresses > Create New > Address

Für das lokale Subnetz:

Und für das externe Subnetz:

Es können auch Adressgruppen angelegt werden. Diese werden an Stelle, von direkten Subnetzen, in der Firewall-Policy benutzt.


Jetzt werden die statischen Routen angelegt, für das externe Subnetz, welche auf das VPN-Interface verweisen.
Network > Static Routes > Create New

Es wird noch eine statische Route angelegt, die dieses Mal auf das Blackhole-Interface verweisen.

Im letzten Schritt werden Firewall-Regeln angelegt, die VPN-Traffic erlauben.
Policy & Objects > Firewall Policy > Create New

Als Erstes für den Traffic aus dem lokalen Subnetz zum VPN-Tunnel. NAT wird nicht benötigt.

Als nächstes für den Traffic vom VPN-Tunnel zum lokalen Subnetz. NAT wird weiterhin nicht benötigt.

Überprüfung des VPN-Tunnels
Um den Zustand des VPN-Tunnels zu überprüfen, müssen ein neues Dashboard-Widget namens IPsec hinzugefügt werden.
Dashboard > Status > Add Widget

Jetzt lässt sich der Status von Phase 1 und Phase 2 überprüfen.

Anschließend kann die Verbindung mit einem einfachen Ping getestet werden. Phase 2 sollte automatisch hochfahren, vorausgesetzt, Phase 1 ist ordnungsgemäß hochgefahren.