Anleitung für Konfiguration von IPsec Tunnel zwischen MikroTik und FortiGate.

Szenario

IPsec Tunnel zwischen einem MikroTik RouterBOARD und einer FortiGate Firewall, wobei die FortiGate Firewall über eine (statische) öffentliche IP-Adresse verfügt, der MikroTik sich in einem NAT-Netzwerk befindet.

Austattung

Konfiguration

FortiGate (DialUp Server)

Da die FortiGate über eine statische IP-Adresse verfügt, wird sie eine DialUp-VPN-Verbindung zur Verfügung stellen. Diese (neue) Verbindung kann über den im Webconfig verfügbaren IPsec Wizard erstellt werden (DialUp-Template). Folgende Einstellungen sind in unserem Fall dann vorgenommen/angepasst worden.

Remote Gateway: Dialup User (da sich Gegenstelle hinter einem NAT-Netzwerk befindet.)
Interface: wan1 (in unserem Fall ist die öffentliche Anbindung auf wan1)
NAT Traversal: Enabled
Dead Peer Detection: Disabled

 

Authentication-Method: Pre-shared Key
Pre-shared Key: kryptischer langer Key, muss ebenfalls beim MikroTik angegeben werden.

IKE-Version: 1
IKE-Mode: Aggresive

Accept Type: Specific peer ID
Peer ID: eindeutige Zeichenfolge (MikroTik IPsec Peer "My Id").

In Phase 1 muss die Verschlüsselung auf beiden Seiten übereinstimmen.

In Phase 2 Selectors wird das "routing" festgelegt, zusätzliche statische (oder dynamische) Routen sind nicht vorzunehmen (MikroTik IPsec Policy).

Phase 2 Verschlüsselung muss natürlich ebenfalls auf beiden Seiten übereinstimmen.


Wird das IPsec-Profil mittels Wizard erstellt, werden normalerweise passende Firewall-Policies automatisch generiert, für einen vollständigen Zugriff der Clients hinter dem MikroTik würden die IPv4-Policies folgendermaßen aussehen.


MikroTik (DialUp "Client")

Der MikroTik wurde mittels Winbox konfiguriert, die Konfiguration über das Webinterface ist äquivalent.

Unter IP -> IPsec gehört jeweils eine neue Policy (FortiGate Phase 2 äquivalent), neuer Peer (FortiGate Phase 1 äquivalent) und neue Proposal (Phase 2 Verschlüsselung) eingerichtet.

SA Src. Address: 0.0.0.0 (da keine eigene öffentliche IP-Adresse)
SA Dst. Address: öffentliche IP-Adresse der FortiGate.
Proposal: siehe Proposal

Address: öffentliche IP-Adresse der FortiGate.
Auth. Method: pre shared key
Exchange Mode: aggressive
Secret: kryptischer langer Key, muss derselbe wie bei der FortiGate sein.

My ID Type: key id
My ID: eindeutige Zeichenfolge (wie bei FortiGate).

 

Selbe Einstellungen wie bei FortiGate Phase 1 vornehmen.
DH Group: Diffie-Hellman-Groups

Selbe Einstellungen wie bei FortiGate Phase 2 vornehmen.


Damit die entsprechenden Pakete korrekt über den IPsec-Tunnel geschleust werden, muss noch eine passende Source-NAT Regel eingerichtet werden.


Zusammenfassung

Ist auf beiden Seiten dieselbe Verschlüsselung ausgewählt, Peer Id und Pre-Shared-Key übereinstimmen, sollte die Verbindung vom MikroTik aufgebaut werden. Sollte keine aktive Verbindung hergestellt werden können, sollte das VPN-Log auf FortiGate Seite genauer betrachtet werden, ggf. die ankommenden Pakete getraced und analysiert werden bzw. die zum MikroTik zurückkommenden Pakete analysiert werden.

Beim MikroTik ist ansonsten unter IP -> IPsec -> Remote Peers die (aktive) Verbindung zu finden.

Bei der FortiGate in der Webconfig unter Monitor -> IPsec Monitor.