Tutos

VPN IPSEC entre un Fortigate et un Android

Rédigé par g-rom le . Laisser un commentaire

Hello !!

Ca fait un moment que je n’ai pas écrit d’article. Eh oui pas mal de préoccupations avec le boulot, et recherche d’appartements, mais je commence à voir le jour… 🙂

J’ai changé de téléphone lundi, un HTC One S, équipé de Android 4.0.3 « Ice Cream Sandwich ».
Et en fouillant dans les menus, je découvre quoi ??? Ah bah il y a le VPN IPSEC de supporté ! Enfin !

Du coup je me suis lancé dans de la recherche d’infos et un peu de troubleshooting, pour mettre au point une configuration d’interconnexion avec mon pare-feu Fortigate, et j’ai décidé de vous la faire partager 😉 Ca servira à quelques admins sécu ou a quelques geeks qui ont un Fortigate à titre perso chez eux… 😉

Le mode choisi est du VPN IPSEC XAuth PSK. C’est à dire qu’on fera de l’authentification login/mot de passe et qu’on aura une preshared key.
Je n’ai pas trouvé de doc mais en troubleshootant j’ai réussi à obtenir quelque chose qui marche, et a postériori je me suis apercu que ca reste très proche de ce qu’on peut trouver sur iPhone.

Comme la configuration nécessite mode-cfg pour pousser la configuration, ca se fera en CLI. J’ai choisi aussi de travailler en « interface mode », ca permet d’avoir un truc plus « sexy » pour les règles de firewall.

J’utiliserai ici un sous réseau en 192.168.15.0/25, pensez à créer la route statique adéquate !

config vpn ipsec phase1-interface
    edit "Users"
        set type dynamic
        set interface "wan1"
        set dhgrp 2
        set xauthtype auto
        set mode-cfg enable
        set proposal aes128-sha1
        set negotiate-timeout 15
        set authusrgrp "mon groupe d'utilisateurs" #mettre ici le groupe d'utilisateurs à matcher
        set default-gw 0.0.0.0
        set ipv4-start-ip 192.168.15.10 #range d'IP de départ
        set ipv4-end-ip 192.168.15.20 #range d'IP d'arrivée
        set ipv4-netmask 255.255.255.128 #netmask à utiliser
        set ipv4-dns-server1 192.168.12.8 #serveurs DNS
        set ipv4-dns-server2 192.168.16.8
        set ipv4-dns-server3 192.168.26.2
        set ipv4-split-include "STL-VPN-AllowedSubnets" #groupe d'adresses comportant les subnets à encapsuler dans le VPN
        set domain "galaxy.lan" #Domaine de recherche DNS
        set psksecret "maclepsk"
    next
end

config vpn ipsec phase2-interface
    edit "Users"
        set keepalive enable
        set pfs disable
        set phase1name "Users"
        set proposal aes128-sha1
        set keylifeseconds 1800
    next
end

Ensuite sur Android il reste quoi à faire ? Et bien à renseigner la configuration (menu accessible via « Paramètres », puis « Plus » (dans Sans fil et réseaux), puis « VPN ».
Nom : ce que vous voulez
Type : IPSec Xauth PSK
Adresse du serveur : l’adresse IP publique utilisée
Identifiant IPSEC : laisser vide
Clé pré-partagée : mettre la clé partagée

Et ? C’est tout ! Le reste de la configuration sera poussée par le Fortigate !

Amusez vous bien !

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *


La période de vérification reCAPTCHA a expiré. Veuillez recharger la page.