Configuracin de VPN IPSEC de Fortigate a Fortigate modo Tnel

Autor Luis Cruz January 15, 2010 | Imprimir | Agregar a favoritos

Configuration of an IPSEC VPN from Fortigate to Fortigate in Tunnel Mode

Marca Modelo

Fortigate Aplica a todos los modelos

Version firmware v3.0 y v 4.0 A continuacion se explicar como crear una VPN ipsec, modo tnel de un fortigate a fortigate:

Ingresamos al fortigate 1, nos vamos al men firewall-> address , le damos click en crear nuevo.

Nos aparecer la siguiente ventana, en donde:

Address Name: < nombre de la red > Type: < colocamos la IP, la red completa, rango de la red, o un FQDN >

Subnet / IP range: < colocamos la red completa en este caso > ( ej: 192.168.2.0/24 ) Interface: < colocar la interfaz para la cual sera usada el rango > ( si no se sabe, o se usar en varias interfaces dejarla en any ) // Hacer el procedimiento 2 veces en cada fortigate uno para la red local y otro para la red remota. ( ej: red_ local 192.168.2.0/24 , red_remota 192.168.4.0/24 , sera al contrario en el otro fortigate, las redes en ambos extremos DEBEN SER DIFERENTES para no tener problemas al levantar el tunel ).

Ahora debemos ir al men vpn -> ipsec

Damos click en create phase 1

Tendremos la siguiente pantalla de configuracin:

Name: < nombre de la vpn > (ej: vpn_es_gt ) Remote Gateway: < Static IP address > ( seleccionar cuando sea una IP fija ) IP Address: < ip pblica equipo destino > Local interface: < Interface de salida del tnel > ( enlace o interface del fortinet por el cul el tnel se conectar al otro ) Mode : <Agressive >< Main > ( Se debe escoger uno, debe ser el mismo en ambos equipos ) Authentication: < Preshared Key > ( si se escoge una llave, debe ser la misma en ambos equipos ) Preshared key: < clave o llave > ( ej: 123456 , debe ser la misma en el FG remoto ) P1 Proporsal: encryption, authentication ( se pueden dejar los que vienen default, en ambos equipos deben ser las mismas, entre las opciones tenemos : DES, DES, AES, SHA1, MD5 ) Dh group : <1,2,5,14 > (seleccionar uno, en ambos tiene que ser el mismo )

Key life: <28,800> (vine por default, puede ser configurado con valores entre 120 172800 ) Dar clic en OK

Ahora damos click en crear fase 2 Tendremos la siguiente pantalla de configuracin:

Name: < nombre de la fase 2 > (ej: mifase2 ) phase1 : < nombre de la fase 1 > (seleccionamos la fase 1 que correspondera a esta fase ) Dar click en advanced (para otras opciones de configuracion )

P2 proporsal : < Encryption ><Authentication > ( se pueden dejar los que vienen default, en ambos equipos deben ser las mismas, entre las opciones tenemos : DES, DES, AES, SHA1, MD5 ) Activar el enable replay detection Activar el PFS Dh group : <1,2,5,14 > (seleccionar uno, en ambos tiene que ser el mismo ) key life: < 1,800> ( viene por defecto ) Autokey keep alive < Enable > ( activarlo si deseamos que al reiniciarse el equipo la VPN levante sola ) clic en ok

Ahora podemos visualizar el listado de vpn's que tenemos configuradas

Ahora procedemos a crear la poltica para nuestra VPN. Nos vamos a firewall -> policy , le damos click en crear nueva poltica:

source interface: < interfaz interna de nuestra red > (ej: internal, dmz ) source address: < rango de la red interna > ( la buscamos en el listado que nos aparece, ya la habiamos creado anteriormente, en este caso red_interna, ej: 192.168.2.0/24 ) Destination interface: < interfaz de salida del tnel > (ej: wan1, wan2, dmz ) Destination address : < rango de la red remota > ( la buscamos en el listado, ya habia sido creada anteriormente, en este caso red_remota , ej : 192.168.4.0/24 ) Schedule: < Horario de activacin de la politica > (por defecto es always, para que siempre este activa, caso contrario se crea un horario de activacin ) Service: < servicios para el tnel > ( por defecto es any, podemos crear un listado personalizado de protocolos/servicios que desean que atraviesen el tnel ) Action: < ipsec > ( en este caso por ser un tunel vpn ipsec ) Vpn tunnel : < seleccionar el tnel a utilizar >

Protection profile : < perfil de proteccion > (podemos crear un perfil de proteccin para esta VPN ) Traffic shaping: <si deseamos reservar cierto ancho de banda de nuestro enlace al tnel > Log allowed traffic : < Enabled > (para que en los logs del fortigate nos aparezcan eventos de la VPN, debemos activarlo ) Click en ok.

Ahora podemos visualizar la poltica que acabamos de crear, con el cuidado que sea la primera poltica de ese grupo, y veremos que al final nos aparece la palabra "encrypt ".

Ahora procedemos a activar/ levantar el tnel VPN, nos vamos nuevamente a vpn >ipsec y buscamos la pestaa que dice monitor. Ahi al final despues de toda la informacin de la VPN se encuentra el STATUS en donde al darle click dice levantar el tnel o bajar el tnel segn sea lo requerido.