# Настройка Fortigate для IPsec VPN

::: tip Информацияы
Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования.
:::

## 1. Создать туннель IPsec

1. В веб-интерфейсе Fortigate перейдите в раздел **VPN** → **IPsec Tunnels**.
2. Нажмите кнопку **Create New** и выберите тип настроек **Custom**.
3. В блоке **Network** задайте параметры:

   - **IP Version**: `IPv4`.
   - **Remote Gateway**: `Static IP Address`.
   - **IP Address**: введите внешний IP-адрес шлюза.
   - **Interface**: выберите внешний интерфейс, например `OUTSIDE (port1)`.
   - **NAT Traversal**: `Enable`.
   - **Keepalive Frequency**: `10`.
   - **Dead Peer Detection**: `On Demand`.
   - **DPD retry count**: `3`.
   - **DPD retry interval (s)**: `20`.

## 2. Настроить аутентификацию и фазу 1

1. В блоке **Authentication** задайте следующие параметры:

   - **Method**: `Pre-shared Key`.
   - **Pre-shared Key**: введите заранее сгенерированный PSK.
   - **IKE Version**: `1`.
   - **Mode**: `Main (ID protection)`.

2. В блоке **Phase 1 Proposal** задайте следующие параметры:
   - **Encryption**: `AES256`.
   - **Authentication**: `SHA256`.
   - **Diffie-Hellman Group**: `14`.
   - **Key Lifetime (seconds)**: `28800`.

## 3. Настроить фазу 2

1. В блоке **Phase 2 Selectors** добавьте запись с параметрами:

   - **Name**: введите имя селектора, например, `NSX-T-T1-VPN`.
   - **Local Address**: укажите локальную подсеть, например `10.0.2.0/255.255.255.0`.
   - **Remote Address**: укажите удаленную подсеть, например `192.168.0.0/255.255.255.0`.

2. В области **Edit Phase 2** задайте параметры:

   - **Encryption**: `AES256`.
   - **Authentication**: `SHA256`.
   - **Enable Replay Detection**: включите опцию.
   - **Enable Perfect Forward Secrecy (PFS)**: включите опцию.
   - **Diffie-Hellman Group**: `14`.
   - **Local Port**: `All`.
   - **Remote Port**: `All`.
   - **Protocol**: `All`.
   - **Key Lifetime**: `Seconds`.
   - **Seconds**: `3600`.

3. Сохраните настройки туннеля.

## 4. Настроить статический маршрут

1. Перейдите в раздел **Network** → **Static Routes**.
2. Нажмите **Create New** и задайте следующие параметры:
   - **Destination**: выберите Subnet и укажите адрес в вашей сети, например, `192.168.0.0/255.255.255.0`.
   - **Interface**: выберите интерфейс IPsec туннеля.
   - **Administrative Distance**: `10`.
   - **Status**: `Enabled`.
3. Сохраните маршрут.

## 5. Настроить правила брандмауэра

1. Перейдите в раздел **Policy & Objects** → **IPv4 Policy**.
2. Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:

   - **Name**: укажите название правила.
   - **Incoming Interface**: укажите шлюз виртуального дата-центра.
   - **Outgoing Interface**: укажите внутренний интерфейс, например `INSIDE (port2)`.
   - **Source**: укажите подсеть, например, `192.168.0.0/24`.
   - **Destination**: укажите подсеть, например, `10.0.2.0/24`.
   - **Schedule**: `always`.
   - **Service**: `ALL`.
   - **Action**: `ACCEPT`.
   - Включите правило.

3. Создайте правило для трафика из локальной сети в IPsec:

   - **Name**: укажите название правила.
   - **Incoming Interface**: укажите внутренний интерфейс, например, `INSIDE (port2)`.
   - **Outgoing Interface**: укажите шлюз виртуального дата-центра.
   - **Source**: укажите подсеть, например, `10.0.2.0/24`.
   - **Destination**: укажите подсеть, например, `192.168.0.0/24`.
   - **Schedule**: `always`.
   - **Service**: `ALL`.
   - **Action**: `ACCEPT`.
   - Включите правило.

4. Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.