Las VPN pueden ser un verdadero dolor de cabeza para los administradores de red. Entre todas las combinaciones de VPN existentes, además hay que tener clara la compatibilidad entre los extremos donde, muchas veces, no hay tanta flexibilidad para ajustar parámetros. Las VPN desde un appliance tradicional hacia algún proveedor Cloud generalmente no son tan fáciles de implementar, ya que la documentación no siempre está actualizada. Solo como documentación dejaré este post aquí, ya que pasé un buen rato intentando levantar una VPN con IKEv2 entre Fortinet y Azure a pesar de tener los parámetros de fase 1 y 2 correctos de acuerdo a la documentación de ambos proveedores pero seguía recibiendo el error “peer SA proposal not match local policy” en el lado Fortinet. Finalmente la combinación que levantó el túnel correctamente fue la siguiente:
Fase 1:
DH – 14, 2
AES256 / SHA1
3DES / SHA1
AES256 / SHA256
Fase 2:
AES256 / SHA1
3DES / SHA1
AES256 / SHA256
El resto es configurar las rutas, PSK y políticas de seguridad habituales.