Site to site IPsec VPN with IKEv2 between Fortigate Firewall and Cisco Router
Dans cet atelier, nous allons mettre en place un VPN IPsec site to site avec le protocole de gestion de clés IKEv2 (Internet Key Exchange version 2) en environnement mixte (Fortigate & un routeur Cisco) .
Architecture
/image%2F3625927%2F20240323%2Fob_84a3ab_1.png)
Faire une bonne config IP
Sur le routeur Internet
!
interface FastEthernet0/0
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
end
!
interface FastEthernet0/1
ip address 10.10.2.1 255.255.255.252
duplex auto
speed auto
end
!
Sur le routeur de Dakar
!
interface Ethernet0/0
ip address 10.10.2.2 255.255.255.252
end
!
interface Ethernet0/1
ip address 172.16.0.254 255.255.255.0
end
!
!
ip route 0.0.0.0 0.0.0.0 10.10.2.1
!
!
Sur le forti
/image%2F3625927%2F20240323%2Fob_093c7d_2.png)
Fixer la default GW
/image%2F3625927%2F20240323%2Fob_e564cc_3.png)
Test de connectivité avec la GW
/image%2F3625927%2F20240323%2Fob_aa4dbe_4.png)
Mise en place du tunnel IPsec
IPsec Wizard > VPN Setup
Définir le type de configuration selon l'architecture
/image%2F3625927%2F20240323%2Fob_f9329f_5.png)
Renseigner l'adresse IP du routeur distant et la clé partagée
/image%2F3625927%2F20240323%2Fob_2da80b_6.png)
Renseigner les sous-réseaux. (local et distant)
/image%2F3625927%2F20240323%2Fob_d80ecf_7.png)
Voici un résumé
/image%2F3625927%2F20240323%2Fob_f30b8b_8.png)
Cliquer sur create pour voir le profil VPN qui n'est pas encore configuré
/image%2F3625927%2F20240323%2Fob_2f5753_12.png)
Double-cliquez dessus et cliquez sur Covert To Custom Tunnel pour avoir la main sur le tunnel afin de le configurer
/image%2F3625927%2F20240323%2Fob_feb37b_10.png)
Configurer la phase 1
/image%2F3625927%2F20240323%2Fob_7b379e_11.png)
La phase 2
/image%2F3625927%2F20240323%2Fob_dd96bb_13.png)
Note : Ceci est un fortigate de LAB, il ne dispose donc pas d'algorithme de chiffrement forts. Dans la réalité, les Firewalls disposent de ces algorithmes, il faut donc les utiliser.
Valider par OK
Config du tunnel sur le routeur de Dakar
La phase 1
- Config de la proposition IKE & définition de l'ACL du trafic
crypto ikev2 proposal dakar-st_louis
encryption des
integrity sha512
group 5
!
!
access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip any any
!
- Config de la politique IKE
crypto ikev2 policy Dkr-TO-St-Louis
proposal dakar-st_louis
!
- Config du Keyring
!
crypto ikev2 keyring KEYRING
peer St-louis
address 10.10.1.2
pre-shared-key P@sser123##!
!
!
- Définition du profil
crypto ikev2 profile DKR-TO-ST_LOUIS
match address local 10.10.2.2
match identity remote address 10.10.1.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
!
- Config de l'ensemble de transformations, du chiffrement et du hashage de la Payload
!
crypto ipsec transform-set IPSEC_IKEv2 esp-des esp-sha256-hmac
mode tunnel
!
!
- Config de la crypto map (carte de chiffrement)
crypto map MY_MAP 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set IPSEC_IKEv2
set ikev2-profile DKR-TO-ST_LOUIS
match address 100
!
Appliquer la crypto map sur l'interface WAN
/image%2F3625927%2F20240323%2Fob_34c631_14.png)
Générer du trafic
/image%2F3625927%2F20240323%2Fob_0acf51_15.png)
Le tunnel est donc UP
Regardons sur le forti
/image%2F3625927%2F20240323%2Fob_73d4ef_16.png)
Ce que les logs nous disent
/image%2F3625927%2F20240323%2Fob_756dba_17.png)
Le trafic sur les règles VPN
/image%2F3625927%2F20240323%2Fob_7b0e8d_19.png)
Sur le routeur
La SA IKEv2
/image%2F3625927%2F20240323%2Fob_65a2c7_20.png)
Les sessions IKEv2
/image%2F3625927%2F20240323%2Fob_ae73f9_21.png)
La crypto map
/image%2F3625927%2F20240323%2Fob_73e211_22.png)
La mise en place d'un VPN site-to-site entre un pare-feu Fortigate et un routeur Cisco utilisant IKEv2 offre une solution robuste et sécurisée pour connecter des réseaux distants. En utilisant IKEv2, vous bénéficiez d'une authentification forte, d'une confidentialité des données via le chiffrement, et d'une intégrité des échanges. Cette configuration permet une connectivité fiable et efficace, facilitant ainsi l'échange sécurisé de données entre les réseaux tout en maintenant la confidentialité et l'intégrité des informations transitant à travers le tunnel VPN.