Matthew, this was working wonderfully (okay the occasional hiccup but realtively well) until today when we upgraded the firmware on our Fortinet to MR6. At this point I can no longer connect. Could you possible take a look again:-(<br>
<br><div><span class="gmail_quote">On 12/1/07, <b class="gmail_sendername">Matthew Grooms</b> <<a href="mailto:mgrooms@shrew.net">mgrooms@shrew.net</a>> wrote:</span><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
All,<br><br>You will have to forgive my limited knowledge of the Fortigate product<br>line as a used Fortigate 50a was the only model I could afford to<br>purchase for testing. I also know very little about L2TP over IPsec as<br>
this transport is not supported by the Shrew Soft VPN client. What is<br>supported is standards based IPsec connectivity which works quite well<br>with the model in my test lab. I will do my best to pass on what<br>information I know regarding the configuration :)<br>
<br>The Fortigate 50a ( and I assume all bigger/later models ) support auto<br>configuration of the client via DHCP over IPsec. This mechanism is new<br>to the 2.1.0 client code base and was implemented specifically to<br>
support Fortigate products. This is easy enough to do with the 50a by<br>following the procedures outlined in this document ...<br><br><a href="http://docs.forticare.com/fgt/techdocs/FortiGate_IPSec_VPN_User_Guide_01-30005-0065-20070716.pdf">http://docs.forticare.com/fgt/techdocs/FortiGate_IPSec_VPN_User_Guide_01-30005-0065-20070716.pdf</a><br>
<br>Pay close attention to the following sections ...<br><br>FortiClient dialip-client configurations<br>   \Configuration Overview<br>    \Using virtual IP addresses<br>   \FortiClient dialup-client configuration example<br>
    \Configuring FortiGate_1<br>     \Configure FortiGate_1 to assign VIPs<br><br>Phase 2 parameters<br>   \Advanced phase 2 settings<br>    \DHCP-IPSec<br><br>The basic idea is that you setup your phase2 advanced settings to allow<br>
the client to request a DHCP address over the IPsec Connection. An<br>external DHCP server needs to be created that assigns the client an<br>dynamic address to be used by the virtual adapter. Be sure to setup the<br>DHCP pool for a network that does not exist behind the fortigate or you<br>
will have policy conflicts. Here is what my DHCP pool looks like for<br>reference ...<br><br>Name - vpnclient_dhcp<br>Enable - checked<br>Type - IPSEC<br>IP Range - x.x.x.2 - x.x.x.254 ( dhcp pool network used by clients )<br>
Network Mask - <a href="http://255.255.255.0">255.255.255.0</a><br>Default Gateway - [ IP Address of fortigate internal interface ]<br>Domain - <a href="http://shrew.net">shrew.net</a><br>Lease Time - 5 minutes ( or whatever you deem appropriate )<br>
<br>You then create a policy to allow the client to establish a temporary<br>IPsec SA. This is used to support a DHCP conversation that takes place<br>between the client public adapter and the Fortigate public interface.<br>
Please note that all Fortigate IPsec policies are defined as LOCAL -><br>REMOTE. Here is what mine looks like for reference ...<br><br>Source Interface/Zone - external<br>Source Address - [ IP Address of fortigate external interface ]<br>
Destination Interface/Zone - external<br>Destination Address - [ Any <a href="http://0.0.0.0/0.0.0.0">0.0.0.0/0.0.0.0</a> ]<br>Schedule = always<br>Service = DHCP ( limit to only DHCP )<br>Action = IPSEC<br><br>VPN Tunnel - [ phase1 name used by dialup group ]<br>
Allow inbound - checked<br>Allow outbound - checked<br>Inbound NAT - unchecked<br>Outbound NAT - unchecked<br><br>Eventually, you will need one or more policies that allow clients to<br>establish IPsec SAs for communicating with private networks. Here is<br>
what mine looks like for reference ...<br><br>Source Interface/Zone - internal<br>Source Address - [ private network behind the gateway ]<br>Destination Interface/Zone - external<br>Destination Address - x.x.x.0/24 ( dhcp pool network used by clients )<br>
Schedule = always<br>Service = ANY ( or whatever you deem appropriate )<br>Action = IPSEC<br><br>VPN Tunnel - [ phase1 name used by dialup group ]<br>Allow inbound - checked<br>Allow outbound - checked<br>Inbound NAT - unchecked<br>
Outbound NAT - unchecked<br><br>The only other configuration required is to setup phase1 and phase2<br>under Auto IKE but you already have this squared away. The only thing to<br>remember is that the phase2 DHCP-IPsec option needs to be checked which<br>
allows IPsec protected DHCP requests to be inspected by the dhcp server<br>on the external interface.<br><br>To test client connectivity, you will need to use the VPN Client 2.1.0<br>alpha build or later. Please remember to change your Site Configuration<br>
Auto configuration option to "dhcp over ipsec" under the General tab.<br>That should be it.<br><br>The Fortigate documentation link shown above is compliments of Harondel<br>J. Sibble. His knowledge of the Fortigate platform dwarfs my own. We can<br>
only hope that if any information included in this email is botched, he<br>will jump in and set us straight :)<br><br>Hope this helps,<br><br>-Matthew<br>_______________________________________________<br>vpn-help mailing list<br>
<a href="mailto:vpn-help@lists.shrew.net">vpn-help@lists.shrew.net</a><br><a href="http://lists.shrew.net/mailman/listinfo/vpn-help">http://lists.shrew.net/mailman/listinfo/vpn-help</a><br></blockquote></div><br>