Fortigate and Cisco VPN Tunnel

Önkoşullar
FortiGate birimi NAT modunda olmalıdır.

VPN Phase 1’i Konfigüre Etme
Web-tabanlı yönetici ile konfigüre etmek için:
VPN > IPSec > Auto-Key’e gidin ve Phase 1’i seçin. Aşağıdakileri girin:

Name :VPN adı.Örneğin , BogaziciVPN
Remote Gateway :Static IP Address
IP Address : Cisco Cihazının genel IP adresi.Örnek.213.142.129.42
Local Interface : uzak VPN’e Bağlanan arabirim: WAN1
Mode : Main (default)
Authentication Method: Preshared Key
Pre-Shared Key : Cisco Cihazında konfigüre edilen preshared key.

Advanced’i seçin ve aşağıdakileri girin:
Enable IPSec Interface Mode : Disable
P1 Proposal : 1- Encryption 3DES, Authentication SHA1 Defult proposal 2’yi Silin.
Dh Group : 2
Keylife : 86400 Defult
Nat- traversal : Disable
Dead Peer Detection : Dİsable

Ok’i Seç.
CLI Kullanarak konfigüre Etmek için .
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.

config vpn ipsec phase1
edit “BogaziciVPN”

set interface wan1
set dpd disable
set dhgrp 2
set proposal 3des-sha1
set keylife 86400
set remote-gw xxx.xxx.xxx.xxx
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

end

VPN Phase 2’yi Konfigüre Etme
IPSec VPN phase 2’yi konfigüre ettiğinizde source selector’u FortiGate biriminin arkasındaki özel ağa ve destination selector’u Cisco cihazının ardındaki özel ağa kurarsınız.

1. VPN > IPSec > Auto-Key’e gidin ve Phase 2’yi seçin.
Name : VPN Phase 2 konfigürasyonu için bir İşim Örneğin ,BogaziciVPN2
Phase 1 : Phase 1 Konfigürasyon Adı: Storix FG-PIX

Advanced’i seçin ve aşağıdakileri girin:
P2 Proposal :1-Encryption 3DES,Authentication SHA1 Deleted Proposal 2.
Enable replay detection :Disable
Enable perfect forward secrecy :Disable
DH Group :5
Keylife :86400 seconds
Autokey Keep Alive :Enable
Source Addreess :10.1.4.0/24
Destination Address :192.192.192.0/24

CLI İle :

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config vpn ipsec phase2
edit Tunnel BogaziciVPN2
set dhgrp 5
set keepalive enable
set phase1name BogaziciVPN
set proposal 3des-sha1
set pfs disable
set replay disable
set keylife-type seconds
set keylifeseconds 86400
set src-addr-type subnet
set src-subnet 10.1.4.0 255.255.255.0
set dst-addr-type subnet
set dst-subnet 192.192.192.0 255.255.255.0
end

FortiGate Firewall Adreslerini Konfigüre Etme
VPN’in her iki ucundaki özel ağlar için firewall adresleri oluşturun.
Web tabanlı yönetici kullanarak konfigüre etmek için:

Firewall > Address’e gidin ve Create New’u seçin.
Aşağıdakileri girin:
Address Name :Adres için bir isim Örneğin:FortiGate biriminin ardındaki aü için “LocalLAN” Cisco cihazının ardındaki ağ içn “Site2_Net”
Type : Subnet / İP Range
Subnet / IP Range : Ağ Adresi ve subnet mask.Örneğin,
LocalLAN İçin “10.1.4.0 255.255.255.0” girin.
Site2_net için “192.192.192.0 255.255.255.0 girin

CLI ile:
Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config firewall address
edit “LocalLAN”
set subnet 10.1.4.0 255.255.255.0
next
edit “Site2_net”
set subnet 192.192.192.0 255.255.255.0
end

FortiGate Firewall Policy Konfigüre Etme
IPSec firewall policy, FortiGate birimi ardındaki ağdaki hostlar ve Cisco cihazı ardındaki hostlar arasında her iki yönde iletişime izin verir.

Web tabanlı yönetici kullanarak konfigüre etmek için
Firewall > Policy’ e gidin ve Create New’u seçin

Source Interface/Zone :Yerel ağa bağlı arabiirm: internal.
Source Address :Yerel ağın firewall adresi: LocalLAN.
Destination Interface/Zone :Uzak ağa bağlayan arabirim: WAN1.
Destination Address :Uzak ağın firewall adresi: Site2_net.
Schedule :always
Service :ANY
Action :IPSEC
VPN Tunnel :BogaziciVPN
Allow inbound :Enable
Allow outbound :Enable
Inbound NAT :Disable
Outbound NAT :Disable

Örnek konfigürasyonu kullanarak aşağıdaki komutları giriniz.
config firewall policy
edit 1
set srcintf internal
set dstintf wan1
set srcaddr LocalLAN
set dstaddr Site2_net
set action ipsec
set inbound enable
set outbound enable
set natinbound disable
set natoutbound disable
set schedule always
set service ANY
set vpntunnel BOGAZICIVPN
end

Cisco Cihazını Konfigüre Etme
Bu Cisco PIX cihazı kendi CLI’si kullanılarak konfigüre.

Cisco PIX Phase 1’i konfigüre etmek için aşağıdaki komutları girin:

isakmp enable outside
isakmp key ******* address xx.xx.205.173 netmask 255.255.255.255

isakmp policy 1 authentication pre-share
isakmp policy 1 encryption 3des
isakmp policy 1 hash sha
isakmp policy 1 group 2
isakmp policy 1 lifetime 86400
Cisco PIX Phase 2’i konfigüre etmek için aşağıdaki komutları girin:

crypto ipsec transform-set fortinet esp-3des esp-sha-hmac

crypto map test 10 ipsec-isakmp
crypto map test 10 match address BGLR
crypto map test 10 set peer xx.xx.205.173
crypto map test 10 set transform-set fortinet
cryto map test interface outside
crypto map test 10 set security-association lifetime seconds 86400

Ek Cisco PIX Kuralları
Erişim kontrol listesini (access control list – ACL) istenen VPN trafiğine ayarlayın ve NAT’a geçin:

access-list BGLR permit ip 192.192.192.0 255.255.255.0 10.1.4.0 255.255.255.0

nat (inside) 0 access-list BGLR
sysopt connection permit-ipsec

VPN’i test etme:
VPN’i uzak ağdan adresleri ping’leyerek test edebilirsiniz. Ayrıca VPN çalışmasını onaylamak için aşağıdaki komutları kullanabilirsiniz:

diag vpn tunnel list On the FortiGate unit, lists operating VPN tunnels
show crypto isakmp sa On the Cisco PIX appliance, shows the Phase 1 security associations
show crypto ipsec sa On the Cisco PIX appliance, shows the Phase 2 security associations

Sorun Giderme
FortiGate debug komutları
diag debug enable
diag debug appli ike 2
Phase 1 ve phase 2 görüşmelerini görüntüleyin