src/vdc/vdc-how-to/networks/ipsec/fortigate.md

# Настройка Fortigate для IPsec VPN

<!--@include: ../about-adapters.md{28,35}-->

::: info Примечание
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
:::

## 1. Создать туннель IPsec

1. В веб-интерфейсе Fortigate перейдите в раздел **VPN** → **IPsec Tunnels**.
2. Нажмите кнопку **Create New** и выберите тип настроек **Custom**.
3. В блоке **Network** задайте параметры:

   - **IP Version**: `IPv4`.
   - **Remote Gateway**: `Static IP Address`.
   - **IP Address**: введите внешний IP-адрес шлюза.
   - **Interface**: выберите внешний интерфейс, например `OUTSIDE (port1)`.
   - **NAT Traversal**: `Enable`.
   - **Keepalive Frequency**: `10`.
   - **Dead Peer Detection**: `On Demand`.
   - **DPD retry count**: `3`.
   - **DPD retry interval (s)**: `20`.

## 2. Настроить аутентификацию и фазу 1

1. В блоке **Authentication** задайте следующие параметры:

   - **Method**: `Pre-shared Key`.
   - **Pre-shared Key**: введите заранее сгенерированный PSK.
   - **IKE Version**: `1`.
   - **Mode**: `Main (ID protection)`.

2. В блоке **Phase 1 Proposal** задайте следующие параметры:
   - **Encryption**: `AES256`.
   - **Authentication**: `SHA256`.
   - **Diffie-Hellman Group**: `14`.
   - **Key Lifetime (seconds)**: `28800`.

## 3. Настроить фазу 2

1. В блоке **Phase 2 Selectors** добавьте запись с параметрами:

   - **Name**: введите имя селектора, например, `NSX-T-T1-VPN`.
   - **Local Address**: укажите локальную подсеть, например `10.0.2.0/255.255.255.0`.
   - **Remote Address**: укажите удаленную подсеть, например `192.168.0.0/255.255.255.0`.

2. В области **Edit Phase 2** задайте параметры:

   - **Encryption**: `AES256`.
   - **Authentication**: `SHA256`.
   - **Enable Replay Detection**: включите опцию.
   - **Enable Perfect Forward Secrecy (PFS)**: включите опцию.
   - **Diffie-Hellman Group**: `14`.
   - **Local Port**: `All`.
   - **Remote Port**: `All`.
   - **Protocol**: `All`.
   - **Key Lifetime**: `Seconds`.
   - **Seconds**: `3600`.

3. Сохраните настройки туннеля.

## 4. Настроить статический маршрут

1. Перейдите в раздел **Network** → **Static Routes**.
2. Нажмите **Create New** и задайте следующие параметры:
   - **Destination**: выберите Subnet и укажите адрес в вашей сети, например, `192.168.0.0/255.255.255.0`.
   - **Interface**: выберите интерфейс IPsec туннеля.
   - **Administrative Distance**: `10`.
   - **Status**: `Enabled`.
3. Сохраните маршрут.

## 5. Настроить правила брандмауэра

1. Перейдите в раздел **Policy & Objects** → **IPv4 Policy**.
2. Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:

   - **Name**: укажите название правила.
   - **Incoming Interface**: укажите шлюз виртуального дата-центра.
   - **Outgoing Interface**: укажите внутренний интерфейс, например `INSIDE (port2)`.
   - **Source**: укажите подсеть, например, `192.168.0.0/24`.
   - **Destination**: укажите подсеть, например, `10.0.2.0/24`.
   - **Schedule**: `always`.
   - **Service**: `ALL`.
   - **Action**: `ACCEPT`.
   - Включите правило.

3. Создайте правило для трафика из локальной сети в IPsec:

   - **Name**: укажите название правила.
   - **Incoming Interface**: укажите внутренний интерфейс, например, `INSIDE (port2)`.
   - **Outgoing Interface**: укажите шлюз виртуального дата-центра.
   - **Source**: укажите подсеть, например, `10.0.2.0/24`.
   - **Destination**: укажите подсеть, например, `192.168.0.0/24`.
   - **Schedule**: `always`.
   - **Service**: `ALL`.
   - **Action**: `ACCEPT`.
   - Включите правило.

4. Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.
-											Документация по настройке VPN #VEGA-6073
										
										
											2025-12-15 10:11:41 +00:00
+								# Настройка Fortigate для IPsec VPN
 								<!--@include: ../about-adapters.md{28,35}-->
 								::: info Примечание
 								Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
 								:::
 								## 1. Создать туннель IPsec
 . В веб-интерфейсе Fortigate перейдите в раздел **VPN** → **IPsec Tunnels**.
 . Нажмите кнопку **Create New** и выберите тип настроек **Custom**.
 . В блоке **Network** задайте параметры:
 								   - **IP Version**: `IPv4`.
 								   - **Remote Gateway**: `Static IP Address`.
 								   - **IP Address**: введите внешний IP-адрес шлюза.
 								   - **Interface**: выберите внешний интерфейс, например `OUTSIDE (port1)`.
 								   - **NAT Traversal**: `Enable`.
 								   - **Keepalive Frequency**: `10`.
 								   - **Dead Peer Detection**: `On Demand`.
 								   - **DPD retry count**: `3`.
 								   - **DPD retry interval (s)**: `20`.
 								## 2. Настроить аутентификацию и фазу 1
 . В блоке **Authentication** задайте следующие параметры:
 								   - **Method**: `Pre-shared Key`.
 								   - **Pre-shared Key**: введите заранее сгенерированный PSK.
 								   - **IKE Version**: `1`.
 								   - **Mode**: `Main (ID protection)`.
 . В блоке **Phase 1 Proposal** задайте следующие параметры:
 								   - **Encryption**: `AES256`.
 								   - **Authentication**: `SHA256`.
 								   - **Diffie-Hellman Group**: `14`.
 								   - **Key Lifetime (seconds)**: `28800`.
 								## 3. Настроить фазу 2
 . В блоке **Phase 2 Selectors** добавьте запись с параметрами:
 								   - **Name**: введите имя селектора, например, `NSX-T-T1-VPN`.
 								   - **Local Address**: укажите локальную подсеть, например `10.0.2.0/255.255.255.0`.
 								   - **Remote Address**: укажите удаленную подсеть, например `192.168.0.0/255.255.255.0`.
 . В области **Edit Phase 2** задайте параметры:
 								   - **Encryption**: `AES256`.
 								   - **Authentication**: `SHA256`.
 								   - **Enable Replay Detection**: включите опцию.
 								   - **Enable Perfect Forward Secrecy (PFS)**: включите опцию.
 								   - **Diffie-Hellman Group**: `14`.
 								   - **Local Port**: `All`.
 								   - **Remote Port**: `All`.
 								   - **Protocol**: `All`.
 								   - **Key Lifetime**: `Seconds`.
 								   - **Seconds**: `3600`.
 . Сохраните настройки туннеля.
 								## 4. Настроить статический маршрут
 . Перейдите в раздел **Network** → **Static Routes**.
 . Нажмите **Create New** и задайте следующие параметры:
 								   - **Destination**: выберите Subnet и укажите адрес в вашей сети, например, `192.168.0.0/255.255.255.0`.
 								   - **Interface**: выберите интерфейс IPsec туннеля.
 								   - **Administrative Distance**: `10`.
 								   - **Status**: `Enabled`.
 . Сохраните маршрут.
 								## 5. Настроить правила брандмауэра
 . Перейдите в раздел **Policy & Objects** → **IPv4 Policy**.
 . Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:
 								   - **Name**: укажите название правила.
 								   - **Incoming Interface**: укажите шлюз виртуального дата-центра.
 								   - **Outgoing Interface**: укажите внутренний интерфейс, например `INSIDE (port2)`.
 								   - **Source**: укажите подсеть, например, `192.168.0.0/24`.
 								   - **Destination**: укажите подсеть, например, `10.0.2.0/24`.
 								   - **Schedule**: `always`.
 								   - **Service**: `ALL`.
 								   - **Action**: `ACCEPT`.
 								   - Включите правило.
 . Создайте правило для трафика из локальной сети в IPsec:
 								   - **Name**: укажите название правила.
 								   - **Incoming Interface**: укажите внутренний интерфейс, например, `INSIDE (port2)`.
 								   - **Outgoing Interface**: укажите шлюз виртуального дата-центра.
 								   - **Source**: укажите подсеть, например, `10.0.2.0/24`.
 								   - **Destination**: укажите подсеть, например, `192.168.0.0/24`.
 								   - **Schedule**: `always`.
 								   - **Service**: `ALL`.
 								   - **Action**: `ACCEPT`.
 								   - Включите правило.
 . Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.