Fortigate VPN Parte 4 (IPSEC_MikroTik)

E aew meu povo, blz?

Estamos aqui na atividade.

Hoje vamos realizar a configuração de uma VPN Site to Site usando IPSEC, entre Fortigate e Mikrotik.

OBS: Estou usando a versão 6.47 do RouterOS da MikroTik.

Dá uma olhada aí na topologia:

Vamos ao que interessa!?

Acessa teu Fortigate, vai em "VPN Wizard", coloca o nome que você deseja para esse tunnel, e no campo "Template type" seleciona "Custom".

Agora vamos configurar os parâmentos para que o tunnel possa ser estabelecido.

Em network vamos definir o IP do peer e a interface usada para estabelecer o tunnel,

no campo "Authentication" vamos definir a nossa senha PSK.

No próximo print temos nossa configuração da phase1 (criptografia, autenticação, DH-Group e Lifetime):

Vamos para a phase2:

Nessa primeira parte da configuração da phase2 vamos configurar as redes locais e remotas.

Feito isso clique em "Advanced".

Aqui, vamos definir os mesmos parâmetros que definimos na phase1:

Clique em "Ok", e pronto, Tunnel configurado!

Agora vamos configurar as policies.

Lembrem-se, de que aqui usamos a interface VPN.

Depois de criada a primeira policy, vamos criar um clone reverso:

Configure um nome para a nova policy e habilite a mesma.

Já configuramos o tunnel e liberamos o tráfego entre os dois sites.

Agora vamos configurar a rota estática, para que o firewall saiba por onde enviar o tráfego com destino ao site B:

Com isso, concluímos a configuração no Fortigate e daremos início a configuração no Mikrotik.

Abre o teu Winbox, vai lá em "IP" e depois em "IPSEC".

Agora vamos iniciar as configurações:

Clique na aba "Proposal". Nessa tela vamos fazer a configuração da phase1.

Clique no sinal de + azul (ele é usado para criar um novo objeto).

Aqui, a configuração é bem intuitiva, porém, vou chamar a atenção de vocês para os campos "Lifetime" e "PFS Group". No primeiro, o ponto de atenção é que o formato usado para definir é diferente do Fortigate, enquanto no mesmo, o Lifetime é definido por segundos, aqui no MK ele usa o formato de DD HH:MM:SS, então como no Fortigate a phase1 está configurada com 86.400 segundos, aqui no MK ficará 1d. O segundo campo que é referente ao DH-Group, traz o valor do Size de cada DH-Group.

Vou colocar aqui uma lista para que vocês saibam qual o size de cada DH-Group:

• DH Group 1: 768-bit group

• DH Group 2: 1024-bit group

• DH Group 5: 1536-bit group

• DH Group 14: 2048-bit group

• DH Group 15: 3072-bit group

• DH Group 19: 256-bit elliptic curve group

• DH Group 20: 384-bit elliptic curve group

Feita a configuração, vamos para a aba "Profiles". Essa configuração corresponde a parte de autenticação, criptografia, DG-Group e Lifetime da phase2.

Concluída a configuração do profile, vamos configurar o peer.

A atenção aqui é para o campo "Profile", lembre de selecionar o profile que criamos no passo anterior.

Na aba "Identities" vamos definir a autenticação e usar PSK da mesma forma que usamos no Fortigate. No campo "Peer" selecione o que criamos no passo anterior:

Por último, vamos na aba "policies".

Na aba geral, vamos selecionar o peer e em seguida, o modo "tunnel". Feito isso, é hora de definir a rede local e remota.

Na aba "Action", vamos alterar apenas o proposal.

Pronto!

Se tudo estiver correto a conexão deve ser estabelecida.

TOP!!!

Conexão estabelecida nos dois sentidos.

Vamos verificar também no Fortigate:

Pronto, tudo certo.

Porém, para que a comunicação seja realizada, é necessário configurar dois NATs no Mikrotik. Esses NATs vão permitir a comunicação entre os Sites.

Então vai lá em IP, Firewall, aba NAT.

Basta criar os dois NATs, como na imagem.

Agora vamos validar a comunicação entre os desktops de cada site.

Pei Buf!!!!

É isso aí pessoal!

Próximo post vai ser o último da série VPN.

Contato para projetos, serviços e parceiras, click AQUI.