IPsec-VPN:

FortiGate zu FortiGate – Konfigurations-Wizard

In diesem Beitrag soll eine VPN-Verbindung zwischen zwei FortiGates, mit Hilfe des Konfigurations-Wizards, aufgebaut werden. Dieses Profil unterscheidet sich vom benutzerdefinierten Profil durch eine geführte Einrichtung mit begrenzten Anpassungsmöglichkeiten sowie durch die automatische Erstellung von Subnetzgruppen, statischen Routen und Firewall-Richtlinien, was eine schnelle und einfache Einrichtung von VPN-Verbindungen ermöglicht.

Mehr Erfahren

VPN – Topologie

Erstellen des VPN-Tunnels

Zunächst wird der VPN-Tunnel benannt und das NAT konfiguriert.
VPN > IPsec Wizard

Im nächsten Schritt wird die Ziel-Adresse eingegeben, sowie das Interface worüber diese erreicht werden kann. Des Weiteren wird der Pre-shared Key eingegeben.

Jetzt wird das lokale Subnetz und dessen Port angegeben, sowie das Subnetz des VPN-Partners.

Mit dem „Create“ Button lässt sich die Einrichtung abschließen.

Statische Routen, Remote-Adressgruppen sowie Firewall-Regeln werden automatisch erstellt.
Network > Static Routes


Policy & Objects > Addresses


Policy & Objects > Firewall Policy

Überprüfung des VPN-Tunnels

Um den Zustand des VPN-Tunnels zu überprüfen, müssen ein neues Dashboard-Widget namens IPsec hinzugefügt werden.
Dashboard > Status > Add Widget

Jetzt lässt sich der Status von Phase 1 und Phase 2 überprüfen.

Anschließend kann die Verbindung mit einem einfachen Ping getestet werden. Phase 2 sollte automatisch hochfahren, vorausgesetzt, Phase 1 ist ordnungsgemäß hochgefahren.



FortiGate zu FortiGate – Custom Profil

Dies wird eine kurze Einführung in die Einrichtung einer VPN-Verbindung zwischen zwei FortiGates unter Verwendung des benutzerdefinierten Profils sein. Dieses Profil bietet umfangreiche Anpassungsoptionen für Phase-1- und Phase-2-Verschlüsselung, NAT-Traversal und andere. Insbesondere müssen Subnetzgruppen, statische Routen und Firewall-Richtlinien manuell erstellt werden.

Mehr Erfahren

VPN – Topologie

VPN – Datenblatt


FortiGate SiteBFortiGate SiteC
Remote IP address10.10.10.8110.10.10.82
Outgoing PortPort10Port10
Local Subnet-Port192.168.82.0/24-Port1192.168.81.0/24-Port1
Remote Subnet192.168.81.0/24192.168.82.0/24
Phase 1
Pre-shared KeyTest123Test123
IKE-Version22
Encryption/AuthenticationDES/SHA512DES/SHA512
Diffie-Hellman Group1414
Key-Lifetime (Sekunden)8640086400
Phase 2
Encryption/AuthenticationDES/SHA512DES/SHA512
Diffie-Hellman Group1414
Key-Lifetime (Sekunden)4320043200

Erstellen des VPN-Tunnels

Zunächst wird der VPN-Tunnel benannt.
VPN > IPsec Wizard

Danach wird die IP-Adresse des Remote-Gateways und die ausgehende Schnittstelle eingegeben.

Jetzt wird der Pre-Shared Key, dem Sie zugestimmt haben, sowie die IKE-Version angegeben.

Als nächstes wird für Phase 1 die Verschlüsselung und Authentifizierung, sowie die Diffie-Hellman-Gruppe und die Gültigkeit des Schlüssels ausgewählt.

Für Phase 2 wird der Adressbereich des lokalen und externen Netzwerkes angegeben.

In den Advanced Options, wird wieder die Verschlüsselung und Authentifizierungsmethode, sowie die Diffie-Hellman Group und die Schlüsselgültigkeit angegeben.

Im nächsten Schritt werden die Adressobjekte angelegt:
Policy & Objects > Addresses > Create New > Address

Für das lokale Subnetz:

Und für das externe Subnetz:

Es können auch Adressgruppen angelegt werden. Diese werden an Stelle, von direkten Subnetzen, in der Firewall-Policy benutzt.

Jetzt werden die statischen Routen angelegt, für das externe Subnetz, welche auf das VPN-Interface verweisen.
Network > Static Routes > Create New

Es wird noch eine statische Route angelegt, die dieses Mal auf das Blackhole-Interface verweisen.

Im letzten Schritt werden Firewall-Regeln angelegt, die VPN-Traffic erlauben.
Policy & Objects > Firewall Policy > Create New

Als Erstes für den Traffic aus dem lokalen Subnetz zum VPN-Tunnel. NAT wird nicht benötigt.

Als nächstes für den Traffic vom VPN-Tunnel zum lokalen Subnetz. NAT wird weiterhin nicht benötigt.

Überprüfung des VPN-Tunnels

Um den Zustand des VPN-Tunnels zu überprüfen, müssen ein neues Dashboard-Widget namens IPsec hinzugefügt werden.

Dashboard > Status > Add Widget

Jetzt lässt sich der Status von Phase 1 und Phase 2 überprüfen.

Anschließend kann die Verbindung mit einem einfachen Ping getestet werden. Phase 2 sollte automatisch hochfahren, vorausgesetzt, Phase 1 ist ordnungsgemäß hochgefahren.