Configurar VPN IPSEC entre Fortigate y Mikrotik

Published:

Vamos a ver como configurar una VPN IPSec entre un equipo Fortigate y un Mikrotik, la idea es hacerlo en forma de guía porque me ha tocado hacer varias configuraciones, entre distintas versiones.

Para hacer la configuración voy a dejar nota de la topología:

Sitio1: Fortigate

  • ip privada: 192.168.100.0/24
  • ip pública: 10.0.0.1

Sitio2: Mikrotic

  • ip privada: 192.168.200.0/24
  • ip pública: 10.0.0.2

1- Configuración del lado del Mikrotik

1.1- Vamos a IP > IPSec > Porfiles

Iniciamos la configuración, solo voy a poner los valores que modifico el resto queda por defecto.

  • Name: fortigate
  • Hash Algorithms: sha512
  • Encryption Algorithm: aes-256
  • DH Group: ecp512
  • Nat Transversal: Destildar

1.2- IP > IPSec > Peers

Segunda parte:

  • Name: fortigate
  • Address: la ip pública del fortigate.
  • Profile: Fortigate creado en el punto anterior.
  • Exchange Mode: IKE2

1.3- IP > IPSec > Identities

  • Peer: Seleccionamos el creado en el punto anterior.
  • Auth: Method: pre shared key
  • Secret: 123456

1.4- IP > IPSec > Proposal

  • Name: fortigate
  • Encr. Algorothms: aes-256 gcm
  • PFS Group: ecp512

1.5- IP > IPSec > Policies

  • Peer: fortigate (creado en pasos previos).
  • Tunnel: Tildar
  • Src. Address: red privada que se usa en el Mikrotik.
  • Dst. Address: red privada que se usa en el Fortigate.

Antes de cerrar, en la Solapa Action
Proposal: fortigate

Y ok

1.6- En IP > Firewall > NAT

Es necesario crear la regla y dejarla primera en prioridad.

  • Chain: srcnat
  • Src. Address: ip privada de nuestro mikrotik
  • Dst. Address: ip privada de nuestro forti.

2- Fortigate

2.1- Vamos a VPN > IPsec Tunnels, en mi caso elegí custom.

  • Remote Gateway: Static IP Address.
  • IP Address: IP pública del Mikrotik.
  • Interface: Por donde sale la vpn.
  • Nat Transversal: Enable
  • Dead Peer Detection: On Idle.

2.2- En Authentication

  • Colocamos la key que usamos en pasos previos en el mikrotik.
  • IKE Versión: 2.

2.3- Phase 1 Proposal

  • Encryption: AES256
  • Authentication: SHA512
  • Diffie-Hellman group: 21

2.4- En Phase 2

  • Local Address: ip privada local.
  • Remote Address: ip privada remota.

ADVANCED…

  • Encryption: AES256GCM
  • Enable Replay Detection.
  • Enable Perfect Forward Secrecy (PFS)
  • Diffie-Hellman group: 21
  • Auto-negociate: Tildar

2.5- Generar la ruta

Network > Static Route

Debemos colocar la red privada del mikrotik usando la interface de la vpn que acabamos de crear. (192.168.200.0/24 y vpn-to-mikrotik)

2.6- Policy & Objects > Firewall Policy

Debemos crear 2 reglas, una desde el forti al mikrotik y otra del mikrotik al forti.

Regla 1:

  • Name: vpn-to-mikrotic
  • Incoming Interface: LAN
  • Outgoing Interface: vpn-mikrotik-to-forti
  • NAT: Destildar

El resto de los valores le podemos dar all.

Regla 2: La podemos hacer o copiar reverso, donde se invertiran los valores

  • Name: vpn-forti-to-mikrotik
  • Incoming Interface: vpn-to-mikrotik
  • Outgoing Interface: LAN
  • NAT: Destildar

El resto de los valores le podemos dar all.

- Advertisement -
Jorge
Jorgehttps://nksistemas.com
Soy Jorge, Sr Sysadmin Linux/DevOps/SRE y creador de NKSistemas.com Trabajo con plataformas: Linux, Windows, AWS, GCP, VMware, Helm, kubernetes, Docker, etc.

Related articles