VPN IPSEC Fortigate / Router Cisco

Neste post vou demonstrar a configuração de uma VPN IPSEC Site-to-Site entre os equipamentos Fortigate e roteador Cisco com feature de segurança.

ipsec-a-01

Topologia utilizada para demonstrar as configurações:

ipsec-a-02

Para demonstrar a conectividade entre as duas lans, foi configurado uma estação Linux através do Fortigate e um segundo roteador através do Cisco 3660.

Configurações inicias do Cisco 3660

enable
configure terminal
hostname R1FW

interface F0/0
description WAN
ip address 192.168.2.8 255.255.255.0
no shut
exit

interface F0/1
description LAN
ip address 10.30.0.1 255.255.255.0
no shut
exit

ip http server
ip http authentication local

username viniciusbueno privilege 15 password 0 cisco

line vty 0 4
privilege level 15
login local
transport input telnet ssh
exit

logging buffered 51200 warning

Configuração da LAN através do Cisco 3660

enable
configure terminal
hostname R2LAN

interface F0/0
description LAN
ip address 10.30.0.2 255.255.255.0
no shut
exit

ip route 0.0.0.0 0.0.0.0 F0/0

Após garantirmos a conectividade entre o roteador de borda (3660) e o segundo roteador usado para demonstrar a lan, iremos iniciar as configurações da VPN IPSEC.

Configurações a serem aplicadas no R1FW (Cisco 3660):

crypto isakmp policy 1
authentication pre-share
encr des
hash sha
group 2
lifetime 28800
exit

crypto isakmp key 123456 address 192.168.2.4

crypto ipsec transform-set ESP-DES-SHA esp-sha-hmac esp-des
mode tunnel
exit

ip access-list extended SDM_1
remark SDM_ACL Category=4
remark IPSec Rule
permit ip 10.30.0.0 0.0.0.255 192.168.5.0 0.0.0.255
exit

crypto map SDM_CMAP_1 1 ipsec-isakmp
set transform-set ESP-DES-SHA
set pfs group2
set security-association lifetime seconds 1800
set peer 192.168.2.4
match address SDM_1
exit

interface F0/0
crypto map SDM_CMAP_1
exit

ip route 192.168.5.0 255.255.255.0 f0/0

Após setar os parâmetros acima, a configuração do equipamento Cisco está pronta.

Agora iremos realizar a configuração do Fortigate:

ipsec-a-03

Após acessar o menu Auto Key (IKE), teremos as opções abaixo, referente as fases da VPN.

ipsec-a-04

Primeiramente iremos configurar a fase 1, então acesse a opção “Create Phase 1”

ipsec-a-05

Os parâmetros da fase 1 da vpn DEVEM bater com o configurado no equipamento Cisco, como pode ser visto são utilizado os mesmos algoritmos. Apesar de não ser visível a Pre-shared Key foi setada como “123456”  , a mesma do equipamento Cisco.

Agora iremos realizar a configuração da fase 2:

ipsec-a-06

O mesmo é valido para a fase 2 da vpn, as configurações DEVEM bater com o configurado no equipamento Cisco.

Após configurarmos as fases da VPN, iremos criar uma rota estática apontando a rede 10.30.0.0/24 para o túnel VPN que acabamos de configurar.

ipsec-a-07

Após acessar o Static Route, navegue até a opção Create New:

ipsec-a-08

Agora será necessário criar as regras de acesso, para isso navegue até o menu abaixo:

ipsec-a-12

Para o nosso exemplo liberei o acesso ANY de ambos os lados, conforme a imagem abaixo:

ipsec-a-13

Após esta alteração concluímos  as configurações. Agora iremos verificar se o túnel ira ficar UP e também mostrar alguns comandos para troubleshooting.

Ainda no Fortigate, navegue até a opção abaixo:

ipsec-a-09

Nesta opção visualizamos todos os túneis VPN, como pode ver o mesmo se encontra Down.

ipsec-a-10

Basta pressionar na opção Bring Up para forçar a VPN a ficar UP.

ipsec-a-11

E se a vpn não ficasse UP? Bem segue alguns comandos úteis para ser aplicados no Cisco 3660 para ajudar a identificar o problema:

R1FW# show crypto map
R1FW# show crypto isakmp policy
R1FW# show crypto ipsec sa
R1FW# show crypto ipsec transform-set
R1FW# debug crypto isakmp
R1FW# debug crypto ipsec

Segue o resultada da comunicação entre as LANs.

Linux ( faz parte da Lan Fortigate)

ipsec-a-14

R2LAN (faz parte da Lan Cisco 3660)

ipsec-a-15

Tags: ,