Aufbau einer mit IPsec verschlüsselten Verbindung von einem Lucom VPN Router zu einer FortiGate Virtual Appliences von Fortinet.

Die vorgestellte Lösung sollte auf alle Lucom Mobilfunk- und LAN-Router übertragbar sein.

Zunächst werden die notwendigen IPsec- und Routing-Einstellungen in der FortiGate Appliences beschrieben und anschließen die passenden IPsec-Einstellungen des Lucom Mobilfunk VPN Routers.

Die Einstellungen der IPsec Phase 1 werden im Menü „VPN →IPsec → Auto-key“ vorgenommen. Für diese Anleitung ist eine neue „Phase 1“ anzulegen.

Abb.1: Phase 1 Einstellungen der FortiGate

• Name: Name ist beliebig
• Remote Gateway: Dialup-User (da IP unbekannt)
• Local Interface: Internet-Interface der Fortigate
• Mode: Main
• Authentication Method: Preshared Key (muss im Lucom Router identisch eingestellt werden)
• Accept this peer ID: ausgewählt (muss im Lucom Router identisch eingestellt werden)
• Enable IPsec Interface Mode: sollte aktiviert sein (erleichtert die Firewall Konfiguration)
• P1 Proposal: 3DES, MD5, DH5, Keylife 108000 Sekunden
• X-Auth: deaktiviert
• NAT Traversal: aktiviert
• Keepalive: 10 Sekunden
• Dead Peer Detection: deaktiviert

Im Menü „VPN →IPsec → Auto-key“, neue Phase 2 erstellen

Abb.2: Phase 2 Einstellungen

Phase 1: die entsprechende Phase 1 Connection auswählen

• P2 Proposal: 3DES, MD5
• Replay detection und PFS: deaktiviert
• Keylife: 3600 Sekunden
• Auto-Keep-Alive und DHCP-IPsec: deaktiviert

Quick Mode Selector:

• Source Address: LAN Netz der Fortigate
• Destination Address: LAN Netz des Lucom VPN Routers

Die Policy Einstellungen sind im Menü „Firewall → Policy → Policy“ vorzunehmen.

Abb.3: IPsec Policy Einstellungen

• Source Interface: Lan Interface der Fortigate
• Destination Interface: Namen der konfigurierten VPN Verbindung auswählen

(Weitere Einstellungen sind in diesem Menü auf Wunsch erlaubt)

Die Routing-Einstellungen sind im Menü „Router → Static → Static Route“ vorzunehmen.

Abb.4: Routing Einstellungen der FortiGate

• Destination IP: LAN Netzwerk des Lucom VPN Routers
• Device: Konfigurierte VPN Verbindung

Die IPsec Einstellungen im im Lucom Router in Menü „Configuration → IPsec“ vorzunehmen.

Abb.5: IPsec-Einstellungen des Lucom Routers

   
* Description: Partner Name: (bliebig)
* Remote IP Address: Public IP (oder Domain Name) der Fortigate
* Remote ID: gleichsetzen mit LocalID der Fortigate
* Remote Subnet und Subnet Mask: LAN Adressen der Fortigate
* Local ID: gleichsetzten mit RemoteID der Fortigate
* Local Subnet und Subnet Mask: LAN Addresse des Lucom Routers
* Key Lifetime und IKE Lifetime: gleichsetzten mit Fortigate
* Nat-Traversal: aktivieren (**wichtig!**)
* Prehared Key: gleichsetzten mit Fortigate 

Im Lucom Router ist es außerdem sinnvoll die DPD Optionen zu parametrisieren:

• DPD Delay: 60
• DPD Timeout: 150