Neste documento, veremos as configurações necessárias para conectar um dispositivo iPad ou iPhone a uma VPN IPsec FortiGate, com isso poderemos fazer com que as aplicações corporativas do nosso iPad/iPhone funcionem diretamente, Ideal para colocar um aplicativo do tipo softphone e ligar (ou receber chamadas) diretamente de tais dispositivos, poupando os custos das chamadas ou sendo 100% Disponível,

Podremos apoyarnos si necesitamos en estos documentos anteriores, ya que en este documento describiremos unicamente la parte de VPN y no hablaremos si son usuarios locales del FortiGate o autenticamos contra un LDAP:

eu) Faça uma VPN com IPSEC no Fortigate e conecte-se com o FortiClient – AQUI.
Ii) Usando a autenticação do Fortigate no Active Directory usando LDAP – AQUI.

Requerimentos: necesitaremos cualquier FortiGate con FortiOS superior o igual a 4.0 MR1 Patch 1 y cualquier dispositivo iPad o iPhone con conectividad Wifi o 3G.

Deberemos crear la fase 1 y la fase 2 desde “VPN” > “IPsec” > “Auto Key (IKE)”, primero desde “Create Phase 1” & a posteriori “Create Phase 2”,

En la Phase 1 deberemos indicarle un nombre, indicar que el ‘Remote Gateway’ Ser “Dialup User”, indicaremos en ‘Local Interface’ la WAN desde la que se accederá, el ‘Mode’ Selecionar “Main (ID protection)” en ‘Authentication Method’ indicaremos con “Preshared Key” e indicamos la clave que nos interesará. En ‘Peer Options’ Assinalar “Accept any peer ID”. En las opciones avanzadas indicaremos ‘IKE version’ Para “1”, en ‘Local Gateway IP’ Assinalar “Main Interface IP”, en las primera encriptación marcaremos “AES256” & en la autenticación “MD5”; en el segundo método de encriptación “AES256” y en la autenticación “SHA1”; en ‘DH Group’ Ser “2”, el ‘Keylife’ “28800” Segundos. En XAUTH marcamos “Enable as Server”, ‘Server Type’ Ser “AUTO”, agregamos el grupo de usuarios que queremos que se conecte a dicha VPN, habilitamos el ‘NAT Traversal’ y el ‘Dead Peer Detection’.

Creamos la Phase 2, seleccionaremos la fase 1 que acabamos de configurar. En las opciones avanzadas marcaremos de igual forma la encriptación y la autenticación, primero será “AES256” com “MD5” y segundo “AES256 con “SHA1”, habilitamos ‘Replay detection’ y ‘Perfect forward secrecy (PFS), en el ‘DH Group’ Assinalar “2”, Indicar “1800” segundos para el ‘Keylife’, habilitamos ‘Autokey Keep Alive’ y en ‘Quick mode selector’ en ‘Source address’ y en ‘Destionation Address’ Indicar “0.0.0.0/0”.

Como de costumbre una vez configurada la VPN deberemos crear una regla de firewall en “Política” > “Política”, especificaremos en ‘Source Interface/Zone’ la VPN recién creada, así como en ‘Source Address’ la red que tengamos definida para la VPN; en ‘Destination Interface/Zone’ indicaremos a donde queremos que se conecten y en ‘Destination Address’ la red a la que se conectarán. Indicaremos cuándo queremos que se conecten en ‘Schedule’ y en ‘Service’ los servicios/puertos que querramos permitir, finalmente en ‘Action’ Vamos marcar “ACEITAR” & “OKEY” para guardar.

Si tenemos más reglas de FW, ésta la tendremos que colocar arriba del todo para darle más prioridad.

Y configuramos el DHCP para la red VPN por línea de comandos, com:

config vpn ipsec phase1-interface
edit NOMBRE_PHASE_1
set mode-cfg enable
set ipv4-start-ip IP_ORIGEN
set ipv4-end-ip IP_DESTINO
set ipv4-netmask MASCARA_DE_RED

Agora, desde un iPhone o iPad, desde “Configurações” > “Geral” > “Rede” > “VPN” configuraremos la nueva conexión desde “Añadir configuración VPN…”

E introducimos los datos necesarios para conectarnos, una descripción, el servidor VPN (nombre público) al que nos conectaremos, un usuario con permisos para conectarse en la VPN junto a su contraseña y en el ‘Secreto’ indicaremos la Preshared key introducida en la config de la VPN.