VPN IPSEC Asa / Fortigate

Neste post vou demonstrar a configuração da VPN Ipsec entre os top firewalls de mercado Cisco ASA e  Fortigate.

Topologia utilizada para demonstrar as configurações:

ipsec-vpn-01

Darei foco maior na configuração do Cisco ASA, pois no site já existe este post com mais detalhes do Fortigate.

Fortigate

PHASE 1

ipsec-vpn-02

PHASE 2

ipsec-vpn-03

Rota estática da rede 10.20.0.0/24 pertencente a rede do ASA apontando para a Interface VPN;

ipsec-vpn-04

Políticas liberando o acesso entre as lans do Fortigate com o ASA; Para este exemplo realizei a liberação do serviço ANY;

ipsec-vpn-05

Após este processo, o Fortigate está configurado; agora é necessário realizar a configuração do ASA fazendo uso dos mesmos parâmetros utilizamos no Fortigate;

Cisco ASA

Após se autenticar no ASDM, navegue até a opção Configuration > Site-to-Site VPN; agora vá até a guia Wizards, conforme a imagem

ipsec-vpn-06

Será exibida a tela abaixo; pressione avançar

ipsec-vpn-07

Agora informe o endereço do Peer e selecione a interface outside, utilizada para se conectar com a Wan

ipsec-vpn-08

Para nosso exemplo estamos apenas utilizando a vesão 1 do IKE

ipsec-vpn-09

Selecione sua rede local a ser compartilhada e informe a rede de destino; pressionando no “…” é possível criar o grupo de network

ipsec-vpn-10

Para o nosso exemplo estamos apenas utilizando o Pre-shared Key, informe a mesma senha configurada no Fortigate

ipsec-vpn-11

Por padrão ira vir configurado todos os algoritmos criptográficos

ipsec-vpn-12

Neste exemplo irei deixar apenas o que estamos usando no Fortigate

ipsec-vpn-13

Nesta opção iremos habilitar o PFS e a opção de Exempt para a interface inside

ipsec-vpn-14

Será exibido as informações selecionadas nos menus anteriores; após a validação pressione Finish

ipsec-vpn-15

Após este processo concluímos a configuração; Agora iremos validar se ambas as lans estão se comunicando.

Acesso a guia Monitoring

ipsec-vpn-16

Pressione a opção “Ping”; e através da sua interface inside execute um ping para o endereço 192.168.5.1, correspondente a interface do firewall fortigate

ipsec-vpn-17

Como é possível ser visto, o host perdeu apenas o primeiro pacote pois o túnel ainda não estava UP.

No Fortigate, o túnel se encontra UP com informações de dados trafegados

ipsec-vpn-18

E assim concluímos a configuração do túnel VPN Ipsec entre os devices.

 

Tags: ,