Vamos a ver como configurar una VPN IPSec entre un equipo Fortigate y un Mikrotik, la idea es hacerlo en forma de guía porque me ha tocado hacer varias configuraciones, entre distintas versiones.
Para hacer la configuración voy a dejar nota de la topología:
Sitio1: Fortigate
- ip privada: 192.168.100.0/24
- ip pública: 10.0.0.1
Sitio2: Mikrotic
- ip privada: 192.168.200.0/24
- ip pública: 10.0.0.2
1- Configuración del lado del Mikrotik
1.1- Vamos a IP > IPSec > Porfiles
Iniciamos la configuración, solo voy a poner los valores que modifico el resto queda por defecto.
- Name: fortigate
- Hash Algorithms: sha512
- Encryption Algorithm: aes-256
- DH Group: ecp512
- Nat Transversal: Destildar
1.2- IP > IPSec > Peers
Segunda parte:
- Name: fortigate
- Address: la ip pública del fortigate.
- Profile: Fortigate creado en el punto anterior.
- Exchange Mode: IKE2
1.3- IP > IPSec > Identities
- Peer: Seleccionamos el creado en el punto anterior.
- Auth: Method: pre shared key
- Secret: 123456
1.4- IP > IPSec > Proposal
- Name: fortigate
- Encr. Algorothms: aes-256 gcm
- PFS Group: ecp512
1.5- IP > IPSec > Policies
- Peer: fortigate (creado en pasos previos).
- Tunnel: Tildar
- Src. Address: red privada que se usa en el Mikrotik.
- Dst. Address: red privada que se usa en el Fortigate.
Antes de cerrar, en la Solapa Action
Proposal: fortigate
Y ok
Es necesario crear la regla y dejarla primera en prioridad.
- Chain: srcnat
- Src. Address: ip privada de nuestro mikrotik
- Dst. Address: ip privada de nuestro forti.
2- Fortigate
2.1- Vamos a VPN > IPsec Tunnels, en mi caso elegí custom.
- Remote Gateway: Static IP Address.
- IP Address: IP pública del Mikrotik.
- Interface: Por donde sale la vpn.
- Nat Transversal: Enable
- Dead Peer Detection: On Idle.
2.2- En Authentication
- Colocamos la key que usamos en pasos previos en el mikrotik.
- IKE Versión: 2.
2.3- Phase 1 Proposal
- Encryption: AES256
- Authentication: SHA512
- Diffie-Hellman group: 21
2.4- En Phase 2
- Local Address: ip privada local.
- Remote Address: ip privada remota.
ADVANCED…
- Encryption: AES256GCM
- Enable Replay Detection.
- Enable Perfect Forward Secrecy (PFS)
- Diffie-Hellman group: 21
- Auto-negociate: Tildar
Network > Static Route
Debemos colocar la red privada del mikrotik usando la interface de la vpn que acabamos de crear. (192.168.200.0/24 y vpn-to-mikrotik)
2.6- Policy & Objects > Firewall Policy
Debemos crear 2 reglas, una desde el forti al mikrotik y otra del mikrotik al forti.
Regla 1:
- Name: vpn-to-mikrotic
- Incoming Interface: LAN
- Outgoing Interface: vpn-mikrotik-to-forti
- NAT: Destildar
El resto de los valores le podemos dar all.
Regla 2: La podemos hacer o copiar reverso, donde se invertiran los valores
- Name: vpn-forti-to-mikrotik
- Incoming Interface: vpn-to-mikrotik
- Outgoing Interface: LAN
- NAT: Destildar
El resto de los valores le podemos dar all.