En este documento veremos las configuraciones necesarias para poder conectar un dispositivo iPad o iPhone a una VPN con IPsec de FortiGate, con esto podremos hacer que las aplicaciones corporativas de nuestros iPad/iPhone funcionen directamente, ideal para ponerle alguna aplicación tipo softphone y llamar (o recibir llamadas) directamente desde dichos dispositivos, ahorrando los costos de las llamadas o estando 100% Disponibile,

Podremos apoyarnos si necesitamos en estos documentos anteriores, ya que en este documento describiremos unicamente la parte de VPN y no hablaremos si son usuarios locales del FortiGate o autenticamos contra un LDAP:

io) Crea una VPN con IPSEC in Fortigate e connettiti con FortiClient – QUI.
Ii) Utilizzo dell'autenticazione Fortigate su Active Directory tramite LDAP – QUI.

Fabbisogno: necesitaremos cualquier FortiGate con FortiOS superior o igual a 4.0 MR1 Patch 1 y cualquier dispositivo iPad o iPhone con conectividad Wifi o 3G.

Deberemos crear la fase 1 y la fase 2 poiché “VPN” > “IPsec” > “Auto Key (IKE)”, primero desde “Creazione della fase 1” & a posteriori “Creazione della fase 2”,

En la Phase 1 deberemos indicarle un nombre, indicar que el ‘Remote Gateway’ Essere “Utente remoto”, indicaremos en ‘Local Interface’ la WAN desde la que se accederá, el ‘Mode’ Selezionare “Principale (ID protection)” en ‘Authentication Method’ indicaremos con “Chiave già condivisa” e indicamos la clave que nos interesará. En ‘Peer Options’ Segno “Accetta qualsiasi ID peer”. En las opciones avanzadas indicaremos ‘IKE version’ A “1”, en ‘Local Gateway IP’ Segno “Main Interface IP”, en las primera encriptación marcaremos “AES256” & en la autenticación “MD5”; en el segundo método de encriptación “AES256” y en la autenticación “SHA1”; en ‘DH Group’ Essere “2”, el ‘Keylife’ “28800” Secondi. En XAUTH marcamos “Enable as Server”, ‘Server Type’ Essere “AUTO”, agregamos el grupo de usuarios que queremos que se conecte a dicha VPN, habilitamos el ‘NAT Traversal’ y el ‘Dead Peer Detection’.

Creamos la Phase 2, seleccionaremos la fase 1 que acabamos de configurar. En las opciones avanzadas marcaremos de igual forma la encriptación y la autenticación, primero será “AES256” con “MD5” y segundo “AES256 con “SHA1”, habilitamos ‘Replay detection’ y ‘Perfect forward secrecy (PFS), en el ‘DH Group’ Segno “2”, Indicare “1800” segundos para el ‘Keylife’, habilitamos ‘Autokey Keep Alive’ y en ‘Quick mode selector’ en ‘Source address’ y en ‘Destionation Address’ Indicare “0.0.0.0/0”.

Como de costumbre una vez configurada la VPN deberemos crear una regla de firewall en “Politica” > “Politica”, especificaremos en ‘Source Interface/Zone’ la VPN recién creada, así como en ‘Source Address’ la red que tengamos definida para la VPN; en ‘Destination Interface/Zone’ indicaremos a donde queremos que se conecten y en ‘Destination Address’ la red a la que se conectarán. Indicaremos cuándo queremos que se conecten en ‘Schedule’ y en ‘Service’ los servicios/puertos que querramos permitir, finalmente en ‘Action’ Segneremo “ACCETTARE” & “OK” Salvare.

Si tenemos más reglas de FW, ésta la tendremos que colocar arriba del todo para darle más prioridad.

Y configuramos el DHCP para la red VPN por línea de comandos, con:

config vpn ipsec phase1-interface
edit NOMBRE_PHASE_1
set mode-cfg enable
set ipv4-start-ip IP_ORIGEN
set ipv4-end-ip IP_DESTINO
set ipv4-netmask MASCARA_DE_RED

Ora, desde un iPhone o iPad, poiché “Impostazioni” > “Generale” > “Rosso” > “VPN” configuraremos la nueva conexión desde “Añadir configuración VPN…”

E introducimos los datos necesarios para conectarnos, Una descrizione, el servidor VPN (nombre público) al que nos conectaremos, un usuario con permisos para conectarse en la VPN junto a su contraseña y en el ‘Secreto’ indicaremos la Preshared key introducida en la config de la VPN.