alex/fox
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
96e7b4827a551bcefad03966d33c22b5f2467507
fox/src/vdc/vdc-how-to/networks/ipsec/fortigate.md
T
Elena Rechkina 96e7b4827a Подготовка к публикации
2025-12-22 16:48:37 +06:00

4.9 KiB
Raw Blame History

Настройка Fortigate для IPsec VPN

::: tip Информацияы Значения параметров, приведенные ниже, не являются универсальными. Замените их на значения, актуальные для вашей конфигурации, инфраструктуры и сетевого оборудования. :::

1. Создать туннель IPsec

  1. В веб-интерфейсе Fortigate перейдите в раздел VPNIPsec Tunnels.

  2. Нажмите кнопку Create New и выберите тип настроек Custom.

  3. В блоке Network задайте параметры:

    • IP Version: IPv4.
    • Remote Gateway: Static IP Address.
    • IP Address: введите внешний IP-адрес шлюза.
    • Interface: выберите внешний интерфейс, например OUTSIDE (port1).
    • NAT Traversal: Enable.
    • Keepalive Frequency: 10.
    • Dead Peer Detection: On Demand.
    • DPD retry count: 3.
    • DPD retry interval (s): 20.

2. Настроить аутентификацию и фазу 1

  1. В блоке Authentication задайте следующие параметры:

    • Method: Pre-shared Key.
    • Pre-shared Key: введите заранее сгенерированный PSK.
    • IKE Version: 1.
    • Mode: Main (ID protection).

  2. В блоке Phase 1 Proposal задайте следующие параметры:

    • Encryption: AES256.
    • Authentication: SHA256.
    • Diffie-Hellman Group: 14.
    • Key Lifetime (seconds): 28800.

3. Настроить фазу 2

  1. В блоке Phase 2 Selectors добавьте запись с параметрами:

    • Name: введите имя селектора, например, NSX-T-T1-VPN.
    • Local Address: укажите локальную подсеть, например 10.0.2.0/255.255.255.0.
    • Remote Address: укажите удаленную подсеть, например 192.168.0.0/255.255.255.0.

  2. В области Edit Phase 2 задайте параметры:

    • Encryption: AES256.
    • Authentication: SHA256.
    • Enable Replay Detection: включите опцию.
    • Enable Perfect Forward Secrecy (PFS): включите опцию.
    • Diffie-Hellman Group: 14.
    • Local Port: All.
    • Remote Port: All.
    • Protocol: All.
    • Key Lifetime: Seconds.
    • Seconds: 3600.

  3. Сохраните настройки туннеля.

4. Настроить статический маршрут

  1. Перейдите в раздел NetworkStatic Routes.
  2. Нажмите Create New и задайте следующие параметры:
    • Destination: выберите Subnet и укажите адрес в вашей сети, например, 192.168.0.0/255.255.255.0.
    • Interface: выберите интерфейс IPsec туннеля.
    • Administrative Distance: 10.
    • Status: Enabled.
  3. Сохраните маршрут.

5. Настроить правила брандмауэра

  1. Перейдите в раздел Policy & ObjectsIPv4 Policy.

  2. Создайте правило для трафика из IPsec в локальную сеть. Укажите следующие параметры:

    • Name: укажите название правила.
    • Incoming Interface: укажите шлюз виртуального дата-центра.
    • Outgoing Interface: укажите внутренний интерфейс, например INSIDE (port2).
    • Source: укажите подсеть, например, 192.168.0.0/24.
    • Destination: укажите подсеть, например, 10.0.2.0/24.
    • Schedule: always.
    • Service: ALL.
    • Action: ACCEPT.
    • Включите правило.

  3. Создайте правило для трафика из локальной сети в IPsec:

    • Name: укажите название правила.
    • Incoming Interface: укажите внутренний интерфейс, например, INSIDE (port2).
    • Outgoing Interface: укажите шлюз виртуального дата-центра.
    • Source: укажите подсеть, например, 10.0.2.0/24.
    • Destination: укажите подсеть, например, 192.168.0.0/24.
    • Schedule: always.
    • Service: ALL.
    • Action: ACCEPT.
    • Включите правило.

  4. Убедитесь, что оба правила расположены в таблице выше других пересекающихся политик.

Reference in New Issue View Git Blame Copy Permalink