Configurazione Iniziale Firewall FortiGate e Tunnel IPSec

Configurazione Iniziale Firewall FortiGate e Tunnel IPSec

Procedura operativa per la configurazione base di un firewall FortiGate includendo impostazioni di sistema, creazione utenti admin e VPN, configurazione interfacce di rete LAN/WAN e setup tunnel IPSec con parametri di sicurezza specifici per connessioni VPN site-to-site.

Punti Chiave

• Hostname: da configurare nelle impostazioni di sistema
• Timezone: da impostare correttamente
• Utente admin default: admin (da aggiungere/configurare)
• Trusted hosts: aggiungere indirizzi IP autorizzati all'accesso
• Gruppo utenti per tunnel IPSec
• Utenti per tunnel VPN
• Phase 1 IPSec: Algoritmi AES128-SHA512 e AES256-SHA512, DH Group 5
• Phase 2 IPSec: Algoritmi AES128-SHA512 e AES256-SHA512, DH Group 5
• Il tunnel IPSec crea automaticamente voce in Firewall Policy
• Security Profiles: AV-Default, APP-Default, SSL-Certificate Inspection
• Logging Options: All Sessions
• Interfacce: Administrative Access abilitato su HTTPS, HTTP, PING
• LAN internal: IP e Netmask manuali, DHCP Pool da .100 a .200
• WAN: IP manuale da configurare

Comandi

config system global
    set hostname <hostname_firewall>
    set timezone <timezone_id>
end

config system admin
    edit "admin"
        set trusthost1 <trusted_ip> <trusted_netmask>
        set password <admin_password>
    next
end

config user group
    edit "IPSec_Tunnel_Group"
        set member <user1> <user2>
    next
end

config vpn ipsec phase1-interface
    edit "Tunnel_VPN"
        set interface "wan1"
        set proposal aes128-sha512 aes256-sha512
        set dhgrp 5
        set remote-gw <remote_gateway_ip>
        set psksecret <preshared_key>
    next
end

config vpn ipsec phase2-interface
    edit "Tunnel_VPN_Phase2"
        set phase1name "Tunnel_VPN"
        set proposal aes128-sha512 aes256-sha512
        set dhgrp 5
    next
end

config firewall policy
    edit 0
        set name "IPSec_Tunnel_Policy"
        set srcintf "tunnel_interface"
        set dstintf "internal"
        set srcaddr all
        set dstaddr all
        set action accept
        set schedule always
        set service ALL
        set av-profile default
        set app-filter-profile default
        set ssl-ssh-profile certificate-inspection
        set logtraffic all
    next
end

config system interface
    edit "port1"
        set mode static
        set ip <lan_ip> <netmask>
        set allowaccess https http ping
    next
end

config system dhcp server
    edit 0
        set interface "port1"
        set start-ip <ip_base>.100
        set end-ip <ip_base>.200
        set netmask <netmask>
    next
end

Voci Correlate

• SNMP su firewall Fortinet
• IPSec Tunnel
• DMZ - Demilitarized Zone