Fortigate IPSec Tunnel to a specific VDOM

Eine IPSec Verbindung mit einer Fortigate ohne VDOM Konfiguration ist relativ einfach. Sind aber VDOMs aktiviert und es soll ein Tunnel zwischen einem Remote Standort und einer VDOM hergestellt werden, die keinen direkten Internet Uplink hat, wird die Konfiguration etwas komplexer.

Die Ausgangssituation

Es existiert im Beispiel eine VDOM „root“ und eine VDOM „LAB“. Von der VDOM „LAB“ soll nun ein Tunnel zu einem Remote Standort „Edge“ hergestellt werden. Der Edge Standort verfügt über eine feste öffentliche IP, der Internet Anschluss der VDOM „root“ ebenfalls. Ziel soll es sein, die Netze 192.168.1.0/24 (LAN LAB) und 192.168.20.0/24 (LAN EGDE) via IPSeec Tunnel miteinander zu verbinden. Die anderen IP’s dienen der Orientierung im Beispiel und müssen auf die eigenen Gegebenheiten angepasst werden.

Führe nun folgende Schritte durch, um die Netze „LAB LAN“ und „EDGE LAN“ miteinander zu verbinden:

  1. Erstelle einen VDOM Link zwischen der VDOM „root“ und der VDOM „LAB“ namens „root-LAB“.
  2. Erstelle in der VDOM „root“ eine VIP, bei welcher die interne IP 172.24.0.6 lautet. Aktiviere Port Forwarding für UDP 500.
  3. Erstelle in der VDOM „root“ eine VIP, bei welcher die interne IP 172.24.0.6 lautet. Aktiviere Port Forwarding für UDP 4500.
  4. Erstelle in der VDOM „root“ eine VIP Gruppe „IKE-LAB“ und füge die eben erstellten VIPs als Member hinzu.
  5. Erstelle in der VDOM „root“ eine Policy, welche eingehenden Traffic von der öffentlichen IP auf die VIP Gruppe „IKE-LAB“ zulässt. Schränke den Zugriff auf den Service IKE ein.
  6. Erstelle in der VDOM „root“ eine Policy, welche der IP 172.24.0.6/30 (VDOM Link IP „LAB“) Zugriff auf die öffentliche IP 10.131.131.10 und den Service IKE gewährt.
  7. Erstelle in der VDOM „LAB“ einen IPSec Tunnel „LAB-EDGE“, gib die öffentliche IP der Edge Site (10.131.131.10) als Gateway an und wähle den VDOM Link „root-LAB“ als Interface.
  8. Erstelle in der VDOM „LAB“ eine statische Route mit dem Interface „LAB-EDGE“ und dem Zielnetz 192.168.20.0/24.
  9. Erstelle in der VDOM „LAB“ eine Policy für die Verbindung zwischen „LAN EGDE“ und „LAN LAB“.
  10. Konfiguriere nun das IPSec Gateway an der Site „EDGE“. Wähle die IP 10.212.212.4 als Gateway und erstelle eine Route, sowie eine Policy zum Netz „LAN LAB“.
  11. Teste den Zugriff von „EDGE LAN“ nach „LAB-LAN“ und vice versa.