Site to site IPsec VPN with IKEv2 between Fortigate Firewall and Cisco Router

Publié le 23 mars 2024 par BORY DIALLO

Dans cet atelier, nous allons mettre en place un VPN IPsec site to site avec le protocole de gestion de clés IKEv2 (Internet Key Exchange version 2) en environnement mixte (Fortigate & un routeur Cisco) .

Architecture

Faire une bonne config IP

Sur le routeur Internet

!
interface FastEthernet0/0
ip address 10.10.1.1 255.255.255.252
duplex auto
speed auto
end
!
interface FastEthernet0/1
ip address 10.10.2.1 255.255.255.252
duplex auto
speed auto
end
!

Sur le routeur de Dakar

!
interface Ethernet0/0
ip address 10.10.2.2 255.255.255.252
end
!
interface Ethernet0/1
ip address 172.16.0.254 255.255.255.0
end
!
!
ip route 0.0.0.0 0.0.0.0 10.10.2.1
!
!

Sur le forti

Fixer la default GW

Test de connectivité avec la GW

Mise en place du tunnel IPsec

IPsec Wizard > VPN Setup

Définir le type de configuration selon l'architecture

Renseigner l'adresse IP du routeur distant et la clé partagée

Renseigner les sous-réseaux. (local et distant)

Voici un résumé

Cliquer sur create pour voir le profil VPN qui n'est pas encore configuré

Double-cliquez dessus et cliquez sur Covert To Custom Tunnel pour avoir la main sur le tunnel afin de le configurer

Configurer la phase 1

La phase 2

Note : Ceci est un fortigate de LAB, il ne dispose donc pas d'algorithme de chiffrement forts. Dans la réalité, les Firewalls disposent de ces algorithmes, il faut donc les utiliser.

Valider par OK
Config du tunnel sur le routeur de Dakar

La phase 1

Config de la proposition IKE & définition de l'ACL du trafic

crypto ikev2 proposal dakar-st_louis
encryption des
integrity sha512
group 5
!
!
access-list 100 permit ip 172.16.0.0 0.0.0.255 192.168.1.0 0.0.0.255
access-list 100 deny ip any any
!

Config de la politique IKE

crypto ikev2 policy Dkr-TO-St-Louis
proposal dakar-st_louis
!

Config du Keyring

!
crypto ikev2 keyring KEYRING
peer St-louis
address 10.10.1.2
pre-shared-key P@sser123##!
!
!

Définition du profil

crypto ikev2 profile DKR-TO-ST_LOUIS
match address local 10.10.2.2
match identity remote address 10.10.1.2 255.255.255.255
authentication remote pre-share
authentication local pre-share
keyring local KEYRING
!

Config de l'ensemble de transformations, du chiffrement et du hashage de la Payload

!
crypto ipsec transform-set IPSEC_IKEv2 esp-des esp-sha256-hmac
mode tunnel
!
!

Config de la crypto map (carte de chiffrement)

crypto map MY_MAP 10 ipsec-isakmp
set peer 10.10.1.2
set transform-set IPSEC_IKEv2
set ikev2-profile DKR-TO-ST_LOUIS
match address 100
!

Appliquer la crypto map sur l'interface WAN

Générer du trafic

Le tunnel est donc UP

Regardons sur le forti

Ce que les logs nous disent

Le trafic sur les règles VPN

Sur le routeur

La SA IKEv2

Les sessions IKEv2

La crypto map

La mise en place d'un VPN site-to-site entre un pare-feu FortiGate et un routeur Cisco utilisant IKEv2 offre une solution robuste et sécurisée pour connecter des réseaux distants. En utilisant IKEv2, vous bénéficiez d'une authentification forte, d'une confidentialité des données via le chiffrement, et d'une intégrité des communications. Cette configuration permet une connectivité fiable et efficace, facilitant ainsi l'échange sécurisé de données entre les réseaux, tout en maintenant la confidentialité et l'intégrité des informations transitant à travers le tunnel VPN.