IPsec VPN между FortiGate и DrayTek

В этой статье показано, как установить VPN-туннель iPsec между маршрутизаторами FortiGate и Vigor Router. В примере используется маршрутизатор FortiGate на FortiOS 5.4.0.

Конфигурация FortiGate 

1. Перейдите в раздел VPN >> IPsec Wizard, введите имя, выберите «Пользовательский» для типа шаблона, затем нажмите « Next » >

2. В настройках сети введите IP-адрес WAN маршрутизатора Vigor в поле IP-адрес и выберите интерфейс WAN, на котором включен маршрутизатор Vigor , в поле Interface.

3. В настройках аутентификации введите Pre-shared Key и установите время Key Lifetime (которое Vigor Router использует по умолчанию «28800»).

4. В настройках Этапа 2 введите IP-подсеть FortiGate, которую вы хотите связать с маршрутизатором Vigor для Local Address , и IP-подсеть локальной сети маршрутизатора Vigor для Remote Address

5. В настройках предложения фазы 2 ОТКЛЮЧИТЕ   Perfect Forward Secrecy (PFS) и установите время Key Lifetime (которое Vigor Router использует по умолчанию «3600»).

6. Создайте профиль адреса для настройки политики: перейдите в раздел « Policy & Objects >> Addresses >> Create New >> Address », укажите имя и введите IP-подсеть LAN маршрутизатора Vigor в качестве Subnet /IP Range , выберите туннель IPsec, который мы только что созданный для Interface, и нажмите OK , чтобы применить.

7. Создайте правила брандмауэра для VPN-трафика: Перейдите в раздел « Policy & Objects >> IPv4 Policy >> Create New», нам нужно принять два типа трафика: из внутренней сети в сеть Vigor и из сети Vigor во внутреннюю сеть. (Примечание. Помните о порядке правил, так как вам может потребоваться вручную настроить их приоритет. Обычно трафик IPsec будет иметь наивысший приоритет, чем большинство правил, за исключением правила управления.

8. Создайте статический маршрут для VPN: Перейдите в Network >> Static Routes >> Create New, введите IP-адрес локальной сети маршрутизатора Vigor в Destination  и выберите туннель IPsec для Device.

Конфигурация роутера Vigor

1. Перейдите в раздел VPN and Remote Access >> LAN to LAN и щелкните доступный индекс. В общих настройках укажите имя профиля, установите флажок « Enable this profile » и выберите «Dial-Out» для Call Direction.

2. В настройках Dial-out

1. выберите «IPsec Tunnel» для Type of Server I am Calling ,
2. введите IP-адрес WAN маршрутизатора FortiGate в Server IP,
3. введите Pre-shared Key   в соответствии с настройками маршрутизатора FortiGate,
4. в разделе «Метод безопасности IPsec» выберите « High(ESP) AES with Authentication » и нажмите «Advanced».

3. Во всплывающем окне настройте время Key Lifetime и Proposals в соответствии с настройками маршрутизатора FortiGate.

4. В настройках сети TCP/IP введите IP-адрес локальной сети маршрутизатора FortiGate в Remote Network IP и нажмите OK для сохранения.

5. Пока профиль включен, Vigor Router попытается инициировать VPN. Однако вы можете перейти в раздел VPN and Remote Access >> Connection Management , чтобы подключиться к VPN вручную. Выберите профиль, затем нажмите « Dial» .

6. После успешной установки VPN мы можем увидеть статус ниже.