VPN IPSEC entre un Fortigate et un Android

Hello !!

Ca fait un moment que je n’ai pas écrit d’article. Eh oui pas mal de préoccupations avec le boulot, et recherche d’appartements, mais je commence à voir le jour… 🙂

J’ai changé de téléphone lundi, un HTC One S, équipé de Android 4.0.3 « Ice Cream Sandwich ».
Et en fouillant dans les menus, je découvre quoi ??? Ah bah il y a le VPN IPSEC de supporté ! Enfin !

Du coup je me suis lancé dans de la recherche d’infos et un peu de troubleshooting, pour mettre au point une configuration d’interconnexion avec mon pare-feu Fortigate, et j’ai décidé de vous la faire partager 😉 Ca servira à quelques admins sécu ou a quelques geeks qui ont un Fortigate à titre perso chez eux… 😉

Le mode choisi est du VPN IPSEC XAuth PSK. C’est à dire qu’on fera de l’authentification login/mot de passe et qu’on aura une preshared key.
Je n’ai pas trouvé de doc mais en troubleshootant j’ai réussi à obtenir quelque chose qui marche, et a postériori je me suis apercu que ca reste très proche de ce qu’on peut trouver sur iPhone.

Comme la configuration nécessite mode-cfg pour pousser la configuration, ca se fera en CLI. J’ai choisi aussi de travailler en « interface mode », ca permet d’avoir un truc plus « sexy » pour les règles de firewall.

J’utiliserai ici un sous réseau en 192.168.15.0/25, pensez à créer la route statique adéquate !

config vpn ipsec phase1-interface
    edit "Users"
        set type dynamic
        set interface "wan1"
        set dhgrp 2
        set xauthtype auto
        set mode-cfg enable
        set proposal aes128-sha1
        set negotiate-timeout 15
        set authusrgrp "mon groupe d'utilisateurs" #mettre ici le groupe d'utilisateurs à matcher
        set default-gw 0.0.0.0
        set ipv4-start-ip 192.168.15.10 #range d'IP de départ
        set ipv4-end-ip 192.168.15.20 #range d'IP d'arrivée
        set ipv4-netmask 255.255.255.128 #netmask à utiliser
        set ipv4-dns-server1 192.168.12.8 #serveurs DNS
        set ipv4-dns-server2 192.168.16.8
        set ipv4-dns-server3 192.168.26.2
        set ipv4-split-include "STL-VPN-AllowedSubnets" #groupe d'adresses comportant les subnets à encapsuler dans le VPN
        set domain "galaxy.lan" #Domaine de recherche DNS
        set psksecret "maclepsk"
    next
end

config vpn ipsec phase2-interface
    edit "Users"
        set keepalive enable
        set pfs disable
        set phase1name "Users"
        set proposal aes128-sha1
        set keylifeseconds 1800
    next
end

Ensuite sur Android il reste quoi à faire ? Et bien à renseigner la configuration (menu accessible via « Paramètres », puis « Plus » (dans Sans fil et réseaux), puis « VPN ».
Nom : ce que vous voulez
Type : IPSec Xauth PSK
Adresse du serveur : l’adresse IP publique utilisée
Identifiant IPSEC : laisser vide
Clé pré-partagée : mettre la clé partagée

Et ? C’est tout ! Le reste de la configuration sera poussée par le Fortigate !

Amusez vous bien !

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *