Step by step configure vpn sns forti
Stormshield
- [x] Effectuer la première configuration des interfaces en CLI
VMSNSX01B2085A9>defaultconfig -f -r -p
Interface out (sortie internet) : 192.168.1.205 / 255.255.255.0 / 192.168.1.254
Interface in : 10.101.5.254 / 255.255.255.0
- [x] Accéder à la WEB interface depuis un poste admin (http://10.101.5.254)
admin:Passw0rd
VPN IPsec Fortinet - Stormshield
Configuration VPN Fortinet
-
[x] Création d'un "IPsec Tunnels" dans
VPN > IPsec Tunnels > Create New > IPsec Tunnel
-
VPN Setup
- Name : Donner un nom explicite
- Template type : Sélectionner "Site to Site"
-
Remote device type : Sélectionner Fortigate
-
Authentication
- Remote IP address : Adresse IP du pare-feu distant
- Outgoing interface : WAN
-
Authentication method : Pre-shared Key (puis indiquer la clé)
-
Policy & Routing
- Local interface : interface du (ou des) réseau local que l'on veut connecter au VPN
- Local subnets : normalement autocomplété
-
Remote subnet : réseau local distant à joindre/masque
-
Review Settings Vérifier la configuration et cliquer sur
Create
-
[x] Passer la configuration VPN en custom
-
Sélectionner le VPN IPsec précédemment crée puis cliquer sur
Edit
- Cliquer sur
Convert To Custom Tunnel
- [x] Noter les information de la Phase 1
Sélectionner qu'un Diffie-Hellman Group
- [x] Noter les information de la Phase 2
Ne garder que les 4 premiers algorithmes de chiffrement et authentification Sélectionner qu'un Diffie-Hellman Group
Ajouter chaque réseau local dans la phase 2
- [x] Finir la configuration en cliquant sur
OK
Configuration VPN Stormshield
-
[x] Création d'un "IPsec Tunnels" dans
VPN > IPsec VPN > Encryption Policy - tunnels > Add > Site-to-Site tunnel
-
Local Network
-
Sélectionner le réseau local du FW : Network_in
-
Peer selection
-
Create an IKEv1 peer
- Remote Gateway : Créer un objet ou Sélectionner l'objet correspondant à l'adresse IP du pare-feu distant
-
Peer creation wizard : Sélectionner
Pre-shared key (PSK)
puis écrire la même clé inscrite dans le Fortinet. -
Remote network
-
Créer un objet ou Sélectionner l'objet correspondant au réseau distant à joindre
Répéter cette étape pour chaque LAN distant
-
[x] Modifier les valeurs du chiffrement du VPN site-to-site dans
VPN > IPsec VPN > Encryption profiles
-
Indiquer les valeurs de la configuration Fortinet précedente pour l phase 1 et 2
-
Sauvegarder la configuration
-
[x] Création d'une règle statique dans
Network > Routing > IPv4 Static routes > Add
Répéter cette étape pour chaque LAN distant
- [x] Création d'une règle autorisant le flux entre le LAN Distant et le réseau interne
Attention, Stormshield requiert une règle dans les 2 sens pour ICMP par exemple