En este documento veremos las configuraciones necesarias para poder conectar un dispositivo iPad o iPhone a una VPN con IPsec de FortiGate, con esto podremos hacer que las aplicaciones corporativas de nuestros iPad/iPhone funcionen directamente, ideal para ponerle alguna aplicación tipo softphone y llamar (o recibir llamadas) directamente desde dichos dispositivos, ahorrando los costos de las llamadas o estando 100% Disponibile,

Podremos apoyarnos si necesitamos en estos documentos anteriores, ya que en este documento describiremos unicamente la parte de VPN y no hablaremos si son usuarios locales del FortiGate o autenticamos contra un LDAP:

io) Crea una VPN con IPSEC in Fortigate e connettiti con FortiClient – QUI.
Ii) Utilizzo dell'autenticazione Fortigate su Active Directory tramite LDAP – QUI.

Fabbisogno: necesitaremos cualquier FortiGate con FortiOS superior o igual a 4.0 MR1 Patch 1 y cualquier dispositivo iPad o iPhone con conectividad Wifi o 3G.

Deberemos crear la fase 1 la fase 2 poiché “VPN” > “IPsec” > “Auto Key (IKE)”, prima da “Creazione della fase 1” & a posteriori “Creazione della fase 2”,

Nella Phase 1 dovremo indicare un nome, indicare che il ‘Remote Gateway’ Essere “Utente remoto”, indicheremo in ‘Local Interface’ la WAN dalla quale si accederà, il ‘Mode’ Selezionare “Principale (ID protection)” in ‘Authentication Method’ indicheremo con “Chiave già condivisa” e indichiamo la chiave che ci interesserà. In ‘Peer Options’ Segno “Accetta qualsiasi ID peer”. Nelle opzioni avanzate indicheremo ‘IKE version’ A “1”, in ‘Local Gateway IP’ Segno “Main Interface IP”, nella prima crittografia selezioneremo “AES256” & nella autenticazione “MD5”; nel secondo metodo di crittografia “AES256” e nella autenticazione “SHA1”; in ‘DH Group’ Essere “2”, il ‘Keylife’ “28800” Secondi. In XAUTH selezioniamo “Enable as Server”, ‘Server Type’ Essere “AUTO”, aggiungiamo il gruppo di utenti che vogliamo si connetta a tale VPN, abilitiamo il ‘NAT Traversal’ e il ‘Dead Peer Detection’.

Creiamo la fase 2, selezioneremo la fase 1 che abbiamo appena configurato. Nelle opzioni avanzate selezioneremo allo stesso modo la crittografia e l'autenticazione, prima sarà “AES256” con “MD5” e secondo “AES256 con “SHA1”, abilitiamo 'Rilevamento replay'’ e 'Perfect forward secrecy' (PFS), nel 'DH Group'’ Segno “2”, Indicare “1800” secondi per il 'Keylife', abilitiamo 'Autokey Keep Alive'’ e in 'Quick mode selector'’ in 'Source address'’ e in 'Destination Address'’ Indicare “0.0.0.0/0”.

Come al solito, una volta configurata la VPN dovremo creare una regola del firewall in “Politica” > “Politica”, specificare in 'Source Interface/Zone'’ la VPN appena creata, così come in 'Source Address'’ la rete che abbiamo definito per la VPN; in 'Destination Interface/Zone'’ indicheremo dove vogliamo che si connetta e in 'Destination Address'’ la red a la que se conectarán. Indicaremos cuándo queremos que se conecten en ‘Schedule’ y en ‘Service’ los servicios/puertos que querramos permitir, finalmente en ‘Action’ Segneremo “ACCETTARE” & “OK” Salvare.

Si tenemos más reglas de FW, ésta la tendremos que colocar arriba del todo para darle más prioridad.

Y configuramos el DHCP para la red VPN por línea de comandos, con:

config vpn ipsec phase1-interface
edit NOMBRE_PHASE_1
set mode-cfg enable
set ipv4-start-ip IP_ORIGEN
set ipv4-end-ip IP_DESTINO
set ipv4-netmask MASCARA_DE_RED

Ora, desde un iPhone o iPad, poiché “Impostazioni” > “Generale” > “Rosso” > “VPN” configuraremos la nueva conexión desde “Aggiungi configurazione VPN…”

E introducimos los datos necesarios para conectarnos, Una descrizione, el servidor VPN (nombre público) al que nos conectaremos, un utente con permessi per connettersi alla VPN insieme alla sua password e nel 'Segreto’ indicheremo la chiave precondivisa inserita nella configurazione della VPN.