2025-12-15 10:11:41 +00:00
# Настройка Fortigate для IPsec VPN
2025-12-22 16:48:37 +06:00
::: tip Информацияы
2025-12-15 10:11:41 +00:00
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
:::
## 1. Создать туннель IPsec
1. В веб-интерфейсе Fortigate перейдите в раздел **VPN ** → **IPsec Tunnels ** .
2. Нажмите кнопку **Create New ** и выберите тип настроек **Custom ** .
3. В **Network ** задайте параметры:
- **IP Version**: `IPv4` .
- **Remote Gateway**: `Static IP Address` .
- **IP Address**: введите внешний IP-адрес шлюза.
- **Interface**: выберите внешний интерфейс, например `OUTSIDE (port1)` .
- **NAT Traversal**: `Enable` .
- **Keepalive Frequency**: `10` .
- **Dead Peer Detection**: `On Demand` .
- **DPD retry count**: `3` .
- **DPD retry interval (s)**: `20` .
## 2. Настроить аутентификацию и фазу 1
1. В **Authentication ** задайте следующие параметры:
- **Method**: `Pre-shared Key` .
- **Pre-shared Key**: введите заранее сгенерированный PSK.
- **IKE Version**: `1` .
- **Mode**: `Main (ID protection)` .
2. В **Phase 1 Proposal ** задайте следующие параметры:
- **Encryption**: `AES256` .
- **Authentication**: `SHA256` .
- **Diffie-Hellman Group**: `14` .
- **Key Lifetime (seconds)**: `28800` .
## 3. Настроить фазу 2
1. В **Phase 2 Selectors ** добавьте запись с параметрами:
- **Name**: введите имя селектора, например, `NSX-T-T1-VPN` .
- **Local Address**: укажите локальную подсеть, например `10.0.2.0/255.255.255.0` .
- **Remote Address**: укажите удаленную подсеть, например `192.168.0.0/255.255.255.0` .
2. В **Edit Phase 2 ** задайте параметры:
- **Encryption**: `AES256` .
- **Authentication**: `SHA256` .
- **Enable Replay Detection**: включите опцию.
- **Enable Perfect Forward Secrecy (PFS)**: включите опцию.
- **Diffie-Hellman Group**: `14` .
- **Local Port**: `All` .
- **Remote Port**: `All` .
- **Protocol**: `All` .
- **Key Lifetime**: `Seconds` .
- **Seconds**: `3600` .
3. Сохраните настройки туннеля.
## 4. Настроить статический маршрут
1. Перейдите в раздел **Network ** → **Static Routes ** .
2. Нажмите **Create New ** и задайте следующие параметры:
- **Destination**: выберите Subnet и укажите адрес в вашей сети, например, `192.168.0.0/255.255.255.0` .
- **Interface**: выберите интерфейс IPsec туннеля.
- **Administrative Distance**: `10` .
- **Status**: `Enabled` .
3. Сохраните маршрут.
## 5. Настроить правила брандмауэра
1. Перейдите в раздел **Policy & Objects ** → **IPv4 Policy ** .
2. Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:
- **Name**: укажите название правила.
- **Incoming Interface**: укажите шлюз виртуального дата-центра.
- **Outgoing Interface**: укажите внутренний интерфейс, например `INSIDE (port2)` .
- **Source**: укажите подсеть, например, `192.168.0.0/24` .
- **Destination**: укажите подсеть, например, `10.0.2.0/24` .
- **Schedule**: `always` .
- **Service**: `ALL` .
- **Action**: `ACCEPT` .
- Включите правило.
3. Создайте правило для трафика из локальной сети в IPsec:
- **Name**: укажите название правила.
- **Incoming Interface**: укажите внутренний интерфейс, например, `INSIDE (port2)` .
- **Outgoing Interface**: укажите шлюз виртуального дата-центра.
- **Source**: укажите подсеть, например, `10.0.2.0/24` .
- **Destination**: укажите подсеть, например, `192.168.0.0/24` .
- **Schedule**: `always` .
- **Service**: `ALL` .
- **Action**: `ACCEPT` .
- Включите правило.
4. Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.
