Anleitung für Konfiguration von IPsec Tunnel zwischen MikroTik und FortiGate.
Szenario
IPsec Tunnel zwischen einem MikroTik RouterBOARD und einer FortiGate Firewall, wobei die FortiGate Firewall über eine (statische) öffentliche IP-Adresse verfügt, der MikroTik sich in einem NAT-Netzwerk befindet.
Austattung
- FortiGate 50E (Firmware v5.6.3 build1547)
- WAN: öffentliche IP-Adresse (A1 Telekom Business Anschluss)
- LAN: 10.1.0.0/16
- MikroTik RouterBOARD 951-2n (Firmware v6.40.5)
- WAN: hängt hinter einem (beliebigen) NAT-Netzwerk
- LAN: 192.168.88.0/24
Konfiguration
FortiGate (DialUp Server)
Da die FortiGate über eine statische IP-Adresse verfügt, wird sie eine DialUp-VPN-Verbindung zur Verfügung stellen. Diese (neue) Verbindung kann über den im Webconfig verfügbaren IPsec Wizard erstellt werden (DialUp-Template). Folgende Einstellungen sind in unserem Fall dann vorgenommen/angepasst worden.
Remote Gateway: Dialup User (da sich Gegenstelle hinter einem NAT-Netzwerk befindet.)
Interface: wan1 (in unserem Fall ist die öffentliche Anbindung auf wan1)
NAT Traversal: Enabled
Dead Peer Detection: Disabled
Authentication-Method: Pre-shared Key
Pre-shared Key: kryptischer langer Key, muss ebenfalls beim MikroTik angegeben werden.
IKE-Version: 1
IKE-Mode: Aggresive
Accept Type: Specific peer ID
Peer ID: eindeutige Zeichenfolge (MikroTik IPsec Peer "My Id").
In Phase 1 muss die Verschlüsselung auf beiden Seiten übereinstimmen.
In Phase 2 Selectors wird das "routing" festgelegt, zusätzliche statische (oder dynamische) Routen sind nicht vorzunehmen (MikroTik IPsec Policy).
Phase 2 Verschlüsselung muss natürlich ebenfalls auf beiden Seiten übereinstimmen.
Wird das IPsec-Profil mittels Wizard erstellt, werden normalerweise passende Firewall-Policies automatisch generiert, für einen vollständigen Zugriff der Clients hinter dem MikroTik würden die IPv4-Policies folgendermaßen aussehen.
MikroTik (DialUp "Client")
Der MikroTik wurde mittels Winbox konfiguriert, die Konfiguration über das Webinterface ist äquivalent.
Unter IP -> IPsec gehört jeweils eine neue Policy (FortiGate Phase 2 äquivalent), neuer Peer (FortiGate Phase 1 äquivalent) und neue Proposal (Phase 2 Verschlüsselung) eingerichtet.
SA Src. Address: 0.0.0.0 (da keine eigene öffentliche IP-Adresse)
SA Dst. Address: öffentliche IP-Adresse der FortiGate.
Proposal: siehe Proposal
Address: öffentliche IP-Adresse der FortiGate.
Auth. Method: pre shared key
Exchange Mode: aggressive
Secret: kryptischer langer Key, muss derselbe wie bei der FortiGate sein.
My ID Type: key id
My ID: eindeutige Zeichenfolge (wie bei FortiGate).
Selbe Einstellungen wie bei FortiGate Phase 1 vornehmen.
DH Group: Diffie-Hellman-Groups
Selbe Einstellungen wie bei FortiGate Phase 2 vornehmen.
Damit die entsprechenden Pakete korrekt über den IPsec-Tunnel geschleust werden, muss noch eine passende Source-NAT Regel eingerichtet werden.
Zusammenfassung
Ist auf beiden Seiten dieselbe Verschlüsselung ausgewählt, Peer Id und Pre-Shared-Key übereinstimmen, sollte die Verbindung vom MikroTik aufgebaut werden. Sollte keine aktive Verbindung hergestellt werden können, sollte das VPN-Log auf FortiGate Seite genauer betrachtet werden, ggf. die ankommenden Pakete getraced und analysiert werden bzw. die zum MikroTik zurückkommenden Pakete analysiert werden.
Beim MikroTik ist ansonsten unter IP -> IPsec -> Remote Peers die (aktive) Verbindung zu finden.
Bei der FortiGate in der Webconfig unter Monitor -> IPsec Monitor.