Fortigate como servidor de tuneles IPSEC

Para que un fortigate haga de servidor de túneles (ipsec) y poder entrar con el cliente VPN. La configuración mas o menos es esta.

Definimos un pool de ips para asignar a los clientes VPN.

Este pool se define en System->network->DHCP server.
Nombre del interface: Para futuras referencias
Mode: Server (para que el propio firewall actue de servidor DHCP, se puede poner en relay también).
IP: Rango de ip’s que se va a asignar
Network Mask: eso mismo
Default Gateway: lo mismo.
Especificas los DNS’s (que resuelvan cosas internas…por dios).
Las opciones avanzadas … casi que funcionan como están… 7 días de tiempo de refresco de las ips, si quieres un sufijo de dominios

Ahora definimos los parámetros de acceso de la VPN.
VPN -> IPSec -> Auto Key (IKE)
Phase 1: Local Interface -> El interface publico del cacharro
Mode: Main (Id protection)
Authentication method: Preshared Key (a falta de otro mejor)
Peer Options: Accept this peer id (un nombre que luego defines en el cliente vpn).
Opciones avanzadas:
Ike version: 1
Local gateway ip: La ip publica del cacharro
P1 proposal:
Encryption: AES256
Authentication: SHA256
DH group: 2
Keylife: 3600 s
Xauth: Auto
User group: Grupo de usuarios (que luego definiremos)
Nat transversal: enable
Keepalive frecuency: 10 segundos
Dead peer detection: enable

Con esto terminamos la fase 1 … ahora la 2

Hay que seleccionar la fase 1 que hemos definido previamente y en opciones avanzadas:
P2 proposal: Encryption AES256, Authentication SHA256, enable replay detection, enable PFS, Dh group 2
Keylife 3600 segundos, autokey keep alive enable y DHCP-IPsec enable.

Fase 2 lista. Ahora creamos el grupo de usuarios que van a entrar:
User -> User group-> Creamos el grupo
Type: firewall
Ahora seleccionamos los usuarios locales (si los queremos) o definimos que servidores van a autenticar usuarios (previamente definidos en remote).
Si necesitas servidores remotos hay que darlos de alta:
User-> Remote -> Ldap (en nuestro caso servidores con ad):
Nombre, ip y puerto (389)
Common name identifier: sAMAccountName
Distinguished name: OU=IT,OU=Usuarios,DC=dominio,DC=inet
Bind type: regular
User DN: Usuario con permisos de lectura en el Ad

Ya lo tenemos casi todo. Solo falta asignar una política de acceso a las IP’s de DHCP que se han definido (vamos, las reglas en el firewall). Recuerda que el interface de origen es el VPN que has creado al principio (no el de internet).

Lo próximo … la configuración del cliente VPN (para dentro de unos dias).

La documentación oficial se puede descargar desde aqui.