07 julio 2020

Configurar VPN IPsec Virtual Tunnel Interfaces (VTI) Cisco - Fortinet

En esta oportunidad vamos a ver como se realizar un configuración de una VPN IPsec Virtual Tunnel Interfaces(VTI) de Router Cisco contra FotiGate (Fortinet).

Para este Lab utilizaremos los siguientes dispositivos:

Router Cisco
Modelo: CISCO881-K9
IOS: c880data-universalk9-mz.151-1.T.bin
License Level: advsecurity

Firewall FortiGate
Modelo: FortiWiFi 60D
Firmware: v6.0.9 build0335

Topologia del Lab


Pasos a realizar en el Router Cisco:

Rt_Cisco(config)#crypto isakmp policy 10
(Creación de política de los parámetros de Fase 1)

Rt_Cisco(config-isakmp)#encryption des
(Se especifica el algoritmo de encriptacion de Fase 1)

Rt_Cisco(config-isakmp)#hash sha256 
(Se especifica hash del algoritmo de Fase 1)

Rt_Cisco(config-isakmp)#group 2
(Se especifica el grupo de Diffie-Hellmanhash de Fase 1)

Rt_Cisco(config-isakmp)# lifetime 28800
(Se especifica el tiempo de vida de la asociación de seguridad de Fase 1)

Rt_Cisco(config-isakmp)# authentication pre-share
(Se especifica el método de autenticacion de Fase 1)

Rt_Cisco(config)#crypto isakmp key C1sc0F0rt1n3t address 200.41.195.186
(Se especifica la clave compartida y la dirección IP del equipo remoto)


Rt_Cisco(config)#crypto ipsec transform-set VPNS2S esp-des esp-sha256-hmac
(Se especifica el algoritmo de encriptacion y hash de Fase 2)

Rt_Cisco(config)#crypto ipsec profile FGT
(Se crea el perfil con los parámetros de Fase2 que se aplicara en el la interfaz)

Rt_Cisco(ipsec-profile)# description Fase2 Para Fortigate
Rt_Cisco(ipsec-profile)# set security-association lifetime seconds 3600
(Se especifica el tiempo de vida de la asociación de seguridad de Fase 2)

Rt_Cisco(ipsec-profile)# set transform-set VPNS2S
(Se especifica el algoritmo de encriptacion y hash de Fase 2 creado previamente)


Rt_Cisco(config)#interface Tunnel1
Rt_Cisco(config-if)# description Tunel con FGT
Rt_Cisco(config-if)# ip address 172.16.16.173 255.255.255.252
Rt_Cisco(config-if)# tunnel source 181.30.225.114
(Se especifica la IP origen que se utilizara para creación del túnel)

Rt_Cisco(config-if)# tunnel mode ipsec ipv4
(Se especifica el modo para el túnel)

Rt_Cisco(config-if)# tunnel destination 200.41.195.186
(Se especifica la IP destino que se utilizara para creación del túnel)

Rt_Cisco(config-if)# tunnel protection ipsec profile FGT
(Se asocia a la interfaz túnel  con el perfil IPsec de Fase 2)

Rt_Cisco(config)#ip route 192.168.128.0 255.255.255.0 Tunnel1 name LAN_FGT
(Se especifica el o los segmentos de Red que se enviaran por el túnel)


Pasos a realizar en el Firewall FortiGate:

Via GUI:

Ir a VPN >> IPsec Tunnels >> Create New

Name: VPN_Cisco
Template type: Custom

Luego hacer click en Next 

Completar los datos en la siguiente pagina

Network
IP Version: IPv4
Remote Gateway: static ip Address
IP Address: 181.30.225.114
Interface: WAN1
NAT Traversal: enable
Keepalive Frequency: 10
Dead Peer Detection: On Demand

Authentication
Method: Pre-shared Key
Pre-shared Key: C1sc0F0rt1n3t

IKE
Version: 1
Mode: MAIN

Phase 1 Proposal
Encryption: DES
Authentication: SHA256
Diffie-Hellman Groups: 2
Key Lifetime (seconds): 28800

XAUTH
Type: disable

Phase 2 Selectors
Local Address Subnet: 192.168.128.0/255.255.255.0
Remote Address Subnet: 192.168.192.0/255.255.255.0

Darle click al signo de + Advanced…

Phase 2 Proposal
Encryption: DES
Authentication: SHA256
Enable Replay Detection: check box marcado
Local Port All: check box marcado 
Remote Port All: check box marcado 
Protocol All: check box marcado
Auto-negotiate: check box marcado
Autokey Keep Alive: check box marcado
Key Lifetime: Seconds
Seconds:43200

Darle click a OK

Ir a NETWORK >> Static Routes >> Create New

Destination >> Subnet: 192.168.192.0/255.255.255.0
Interface: VPN_Cisco
Status: enable

Darle click a OK

Ir a POLICY & OBJECTS>> IPv4 Policy >> Create New
Name:Traffic Incoming RT Cisco
Incoming Interface:VPN_Cisco
Outgoing Interface: Port2(LAN)
Source: 192.168.192.0/24
Destination: 192.168.128.0/24
Service: ALL
Action: Accept
NAT: Disable
Enable this policy: enable

Crea otra política para el trafico saliente al Cisco

Darle click a Create New
Name:Traffic Outgoing RT Cisco
Incoming Interface: Port2(LAN)
Outgoing Interface: VPN_Cisco
Source: 192.168.128.0/24
Destination: 192.168.192.0/24
Service: ALL
Action: Accept
NAT: Disable
Enable this policy: enable

Comandos para Verificación y Troubleshooting

Para el Router Cisco
show crypto isakmp sa detail — Muestra la sesiones de fase 1.
show crypto ipsec sa — Muestra la sesiones de fase 2.
show interfaces tunnel 1 — Muestra los valores de las interfaz tunnel.
show crypto session detail — Muestra el estado de las sesiones.
show ip route — Muestra las rutas del router

debug crypto ipsec sa — Muestra las negociaciones de la Fase 2.
debug crypto isakmp sa — Muestra las negociaciones de la Fase 1.
debug crypto engine — Muestra las sesiones.

Para el Firewall FortiGate
Via GUI:
Ir a MONITOR >> IPsec Monitor y hacer click en Bring UP >> All Phase 2 Selectors

Ir a LOG & REPORT >> VPN Events — Muestra todos los procesos de los Logs de Fase 1 y 2.

Via CLI:
get vpn ike gateway —  Muestra la información de la Fase 1.
get vpn ipsec tunnel details —  Muestra la información de la Fase 2.

Publicadas por a la/s
Etiquetas:

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Copyright © 2020 EicheS - Todos los derechos reservados.
CCNA, CCNP, CCDA, CCDP, CCIP, CCVP, CCSP, CCIE, Cisco, Cisco IOS, Airones, BPX, Catalyst, Cisco Press, Cisco Unity, EtherChannel, EtherFast, EtherSwitch, Fat Step, GigaDrive, GigaStack, HomeLink, IP/TV, LightStream, Linksys, MGX, Networking Academy, Network Registrar, Packet, PIX, SMARTnet, StackWise, CallManager, CallManager Express, Cisco Systems, el logo de Cisco Systems, son marcas registradas o marcas de Cisco Systems Inc. y/o sus afiliados en los Estados Unidos y otros países. Toda otra marca mencionada en este documento es propiedad de sus respectivos dueños.