Документация по настройке VPN #VEGA-6073

src/vdc/vdc-how-to/networks/ipsec/fortigate.md

@@ -0,0 +1,100 @@
+# Настройка Fortigate для IPsec VPN
+
+<!--@include: ../about-adapters.md{28,35}-->
+
+::: info Примечание
+Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
+:::
+
+## 1. Создать туннель IPsec
+
+1. В веб-интерфейсе Fortigate перейдите в раздел **VPN** → **IPsec Tunnels**.
+2. Нажмите кнопку **Create New** и выберите тип настроек **Custom**.
+3. В блоке **Network** задайте параметры:
+
+   - **IP Version**: `IPv4`.
+   - **Remote Gateway**: `Static IP Address`.
+   - **IP Address**: введите внешний IP-адрес шлюза.
+   - **Interface**: выберите внешний интерфейс, например `OUTSIDE (port1)`.
+   - **NAT Traversal**: `Enable`.
+   - **Keepalive Frequency**: `10`.
+   - **Dead Peer Detection**: `On Demand`.
+   - **DPD retry count**: `3`.
+   - **DPD retry interval (s)**: `20`.
+
+## 2. Настроить аутентификацию и фазу 1
+
+1. В блоке **Authentication** задайте следующие параметры:
+
+   - **Method**: `Pre-shared Key`.
+   - **Pre-shared Key**: введите заранее сгенерированный PSK.
+   - **IKE Version**: `1`.
+   - **Mode**: `Main (ID protection)`.
+
+2. В блоке **Phase 1 Proposal** задайте следующие параметры:
+   - **Encryption**: `AES256`.
+   - **Authentication**: `SHA256`.
+   - **Diffie-Hellman Group**: `14`.
+   - **Key Lifetime (seconds)**: `28800`.
+
+## 3. Настроить фазу 2
+
+1. В блоке **Phase 2 Selectors** добавьте запись с параметрами:
+
+   - **Name**: введите имя селектора, например, `NSX-T-T1-VPN`.
+   - **Local Address**: укажите локальную подсеть, например `10.0.2.0/255.255.255.0`.
+   - **Remote Address**: укажите удаленную подсеть, например `192.168.0.0/255.255.255.0`.
+
+2. В области **Edit Phase 2** задайте параметры:
+
+   - **Encryption**: `AES256`.
+   - **Authentication**: `SHA256`.
+   - **Enable Replay Detection**: включите опцию.
+   - **Enable Perfect Forward Secrecy (PFS)**: включите опцию.
+   - **Diffie-Hellman Group**: `14`.
+   - **Local Port**: `All`.
+   - **Remote Port**: `All`.
+   - **Protocol**: `All`.
+   - **Key Lifetime**: `Seconds`.
+   - **Seconds**: `3600`.
+
+3. Сохраните настройки туннеля.
+
+## 4. Настроить статический маршрут
+
+1. Перейдите в раздел **Network** → **Static Routes**.
+2. Нажмите **Create New** и задайте следующие параметры:
+   - **Destination**: выберите Subnet и укажите адрес в вашей сети, например, `192.168.0.0/255.255.255.0`.
+   - **Interface**: выберите интерфейс IPsec туннеля.
+   - **Administrative Distance**: `10`.
+   - **Status**: `Enabled`.
+3. Сохраните маршрут.
+
+## 5. Настроить правила брандмауэра
+
+1. Перейдите в раздел **Policy & Objects** → **IPv4 Policy**.
+2. Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:
+
+   - **Name**: укажите название правила.
+   - **Incoming Interface**: укажите шлюз виртуального дата-центра.
+   - **Outgoing Interface**: укажите внутренний интерфейс, например `INSIDE (port2)`.
+   - **Source**: укажите подсеть, например, `192.168.0.0/24`.
+   - **Destination**: укажите подсеть, например, `10.0.2.0/24`.
+   - **Schedule**: `always`.
+   - **Service**: `ALL`.
+   - **Action**: `ACCEPT`.
+   - Включите правило.
+
+3. Создайте правило для трафика из локальной сети в IPsec:
+
+   - **Name**: укажите название правила.
+   - **Incoming Interface**: укажите внутренний интерфейс, например, `INSIDE (port2)`.
+   - **Outgoing Interface**: укажите шлюз виртуального дата-центра.
+   - **Source**: укажите подсеть, например, `10.0.2.0/24`.
+   - **Destination**: укажите подсеть, например, `192.168.0.0/24`.
+   - **Schedule**: `always`.
+   - **Service**: `ALL`.
+   - **Action**: `ACCEPT`.
+   - Включите правило.
+
+4. Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.