16/03/2015 VPN IPSEC Fortigate / Router Cisco | Vinicius Bueno

VPN IPSEC Fortigate / Router Cisco

BY VINICIUS BUENO – POSTED ON JULY 14, 2013
POSTED IN: CISCO, FIREWALL

Neste post vou demonstrar a configuração de uma VPN IPSEC Site-to-Site entre os equipamentos Fortigate e roteador
Cisco com feature de segurança.

Topologia utilizada para demonstrar as configurações:

Para demonstrar a conectividade entre as duas lans, foi configurado uma estação Linux através do Fortigate e um segundo
roteador através do Cisco 3660.

Configurações inicias do Cisco 3660

enable
configure terminal
hostname R1FW

interface F0/0
description WAN
ip address 192.168.2.8 255.255.255.0
no shut
exit

interface F0/1
description LAN
ip address 10.30.0.1 255.255.255.0
no shut
exit

ip http server
ip http authentication local

username viniciusbueno privilege 15 password 0 cisco

line vty 0 4
privilege level 15
login local
transport input telnet ssh
exit

data:text/html;charset=utf-8,%3Ch1%20class%3D%22entry-title%22%20style%3D%22padding%3A%200px%3B%20margin%3A%2015px%200px%205px%… 1/5
16/03/2015 VPN IPSEC Fortigate / Router Cisco | Vinicius Bueno

logging buffered 51200 warning

Configuração da LAN através do Cisco 3660

enable
configure terminal
hostname R2LAN

interface F0/0
description LAN
ip address 10.30.0.2 255.255.255.0
no shut
exit

ip route 0.0.0.0 0.0.0.0 F0/0

Após garantirmos a conectividade entre o roteador de borda (3660) e o segundo roteador usado para demonstrar a lan,
iremos iniciar as configurações da VPN IPSEC.

Configurações a serem aplicadas no R1FW (Cisco 3660):

crypto isakmp policy 1

authentication pre-share
encr des
hash sha
group 2
lifetime 28800
exit

crypto isakmp key 123456 address 192.168.2.4

crypto ipsec transform-set ESP-DES-SHA esp-sha-hmac esp-des

mode tunnel
exit

ip access-list extended SDM_1

remark SDM_ACL Category=4
remark IPSec Rule
permit ip 10.30.0.0 0.0.0.255 192.168.5.0 0.0.0.255
exit

crypto map SDM_CMAP_1 1 ipsec-isakmp

set transform-set ESP-DES-SHA
set pfs group2
set security-association lifetime seconds 1800
set peer 192.168.2.4
match address SDM_1
exit

interface F0/0
crypto map SDM_CMAP_1
exit

ip route 192.168.5.0 255.255.255.0 f0/0

data:text/html;charset=utf-8,%3Ch1%20class%3D%22entry-title%22%20style%3D%22padding%3A%200px%3B%20margin%3A%2015px%200px%205px%… 2/5
16/03/2015 VPN IPSEC Fortigate / Router Cisco | Vinicius Bueno

Após setar os parâmetros acima, a configuração do equipamento Cisco está pronta.

Agora iremos realizar a configuração do Fortigate:

Após acessar o menu Auto Key (IKE), teremos as opções abaixo, referente as fases da VPN.

Primeiramente iremos configurar a fase 1, então acesse a opção “Create Phase 1″

Os parâmetros da fase 1 da vpn DEVEM bater com o configurado no equipamento Cisco, como pode ser visto são
utilizado os mesmos algoritmos. Apesar de não ser visível a Pre-shared Key foi setada como “123456”  , a mesma do
equipamento Cisco.

Agora iremos realizar a configuração da fase 2:

O mesmo é valido para a fase 2 da vpn, as configurações DEVEM bater com o configurado no equipamento Cisco.

Após configurarmos as fases da VPN, iremos criar uma rota estática apontando a rede 10.30.0.0/24 para o túnel VPN que
acabamos de configurar.

data:text/html;charset=utf-8,%3Ch1%20class%3D%22entry-title%22%20style%3D%22padding%3A%200px%3B%20margin%3A%2015px%200px%205px%… 3/5
16/03/2015 VPN IPSEC Fortigate / Router Cisco | Vinicius Bueno

Após acessar o Static Route, navegue até a opção Create New:

Agora será necessário criar as regras de acesso, para isso navegue até o menu abaixo:

Para o nosso exemplo liberei o acesso ANY de ambos os lados, conforme a imagem abaixo:

Após esta alteração concluímos  as configurações. Agora iremos verificar se o túnel ira ficar UP e também mostrar alguns
comandos para troubleshooting.

Ainda no Fortigate, navegue até a opção abaixo:

Nesta opção visualizamos todos os túneis VPN, como pode ver o mesmo se encontra Down.

Basta pressionar na opção Bring Up para forçar a VPN a ficar UP.

data:text/html;charset=utf-8,%3Ch1%20class%3D%22entry-title%22%20style%3D%22padding%3A%200px%3B%20margin%3A%2015px%200px%205px%… 4/5
16/03/2015 VPN IPSEC Fortigate / Router Cisco | Vinicius Bueno

E se a vpn não ficasse UP? Bem segue alguns comandos úteis para ser aplicados no Cisco 3660 para ajudar a identificar
o problema:

R1FW# show crypto map

R1FW# show crypto isakmp policy
R1FW# show crypto ipsec sa
R1FW# show crypto ipsec transform-set
R1FW# debug crypto isakmp
R1FW# debug crypto ipsec

Segue o resultada da comunicação entre as LANs.

Linux ( faz parte da Lan Fortigate)

R2LAN (faz parte da Lan Cisco 3660)

data:text/html;charset=utf-8,%3Ch1%20class%3D%22entry-title%22%20style%3D%22padding%3A%200px%3B%20margin%3A%2015px%200px%205px%… 5/5