FortiGate VPN Configuration

FortiGate - Configuración de VPN IPSec Redundantes

FortiGate - How to Setup Redundant IPSec VPN

FortiOS V.4.0 MR2

Modelo Todos los modelos que soportan v3.00 y v4.00

Condición Tener al menos 2 FGs con 2 Enlaces de Internet

Como ya es sabido, todos los equipos FortiGates nos permiten hacer VPN en IPSec, de tal forma que podemos interconectar redes locales a traves del Internet usando este comando.

Dentro de los esquemas de interconexión se soportan los siguiente: Site-to-Site, Site-to-Client y nomenclaturas como: Hub & Spoke (todas contra una) y Full-meshed (todas contra todas).

Además, los FortiGates nos permiten crear VPNs en una modalidad de Tunnel y tambien en Modo Interface

La Tecnología de Redes Privadas Virtuales ( VPN ) nos permite interconectar dispositivos de red, de forma segura, utilizando como medio el Acceso al Internet, pero garantizando la integridad y la seguridad de los datos.

Esta guía es solo una; de varias que nos hemos propuesto realizar para dar los "paso a paso" de cómo implementar VPNs a traveś de IPSec como también por SSL. Para este caso explicaremos cómo hacer una VPN de tipo Site-to-Site redundantes, utilizando dos FortiGates pero con modalidad "Interface mode".

*** Al final de esta Guía aparecen los enlaces para ver las otras implementaciones posibles. ***

Cuando la opción de VPN en "Modo Interface" es habilitada, el FortiGate crea una Interface virtual en la inteface Física que hayamos seleccionado (Local Interface) a través de la cual, podremos hace ruteo estático, politícas basadas en ruteo y/o hasta pasar OSPF sobre dichas VPNs.

El lab, que haremos para este caso tiene un cierto grado de dificultad (ver figura 1) ya que intentaremos crear 2 VPNs las cuales estarán en activas y haciendo "Load Sharing" pero a la vez, tendremos otras 2 VPN entre estos mismo sitios, las cuales serán redundates de las principales , por lo tanto es necesario realizar los siguientes pasos:FG-200A:- Configuración las Interfaces donde crearemos las VPNs- Configuración de la fase 1 para cada uno de los cuatro posibles caminos- Configuración de la fase 2 para cada uno de los cuatro posibles caminos- Configuración de Rutas para las cuatro interfaces virtuales de IPSec- Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces IPSec

FG-100A- Configuración las Interfaces donde crearemos las VPNs- Configuración de la fase 1 para cada uno de los cuatro posibles caminos- Configuración de la fase 2 para cada uno de los cuatro posibles caminos- Configuración de Rutas para las cuatro interfaces virtuales de IPSec- Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces IPSec

Figura 1:

PROCEDIMIENTO

Configurando el FortiGate SitioA

Paso 1: Configuración las Interfaces donde crearemos las VPNsDentro de System >> Network >> Interface configuraremos las Intefaces "Internal" y "WAN1" (ver figura 2), que seran las que estarán involucradas en las VPNs.Para la Internal:

Figura 2.

Para la WAN1:

Figura 3.

Para la WAN2:

Figura 4.

Paso 2 Configuración de la fase 1 para cada uno de los cuatro posibles caminoLas configuraciones de Fase1 las haremos desde VPN >> IPSec >> Auto Key (IKE) >> Create Phase Para una explicación de cada una de las funciones de VPN, en fase I y II, pueden entrar esta guí en donde se explican cada una de esta

Primera Fase 1 para la WAN1: Creando la VPN entre Ambos FortiGates para la WAN1

Figura 5.

Segunda Fase 1, para la WAN1: Creando la VPN de redundancia entre la WAN1 del "SitioA" hacia la WAN2 del FortiGate de "SitioB"

Figura 6.

Creando fase 1, para WAN2: Creando la VPN entre Ambos FortiGates para la WAN2

Figura 7.

Creando fase 1, para la WAN2: Creando la VPN de redundancia entre la WAN2 del "SitioA" hacia la WAN1 del FortiGate de "SitioB"

Figura 8.

Paso 3 Configuración de la fase 2 para cada uno de los cuatro posibles caminoConfigurando la fase 2, para cada uno de los fase 1 que hemos creado, lo cual haremos desde VPN >> IPSec >> Auto Key (IKE) >> Create Phase En la fases I I, será donde seleccionaremos cada una de la Fase I, que hayamos creadFase I I: para fase 1 "SitioA-SitioB

Figura 9.

Fase II: Para Fase 1 "SitioA-SitioB-2"Figura 10.

Paso 4: Configuración de Rutas para las cuatro interfaces virtuales de IPSecLa configuración de las rutas estáticas, las hacemos desde: Router >> Static >> Static RoutePrimera ruta estática por la Interface virtual IPSec "SitioA-SitioB" con distancia 10Figura 13.

Segunda ruta estática por la Interface virtual IPSec "SitioA-SitioB-2" con distancia 20, la cual será solo para el caso de requerirse redundanciaFigura 14.

Tercera ruta estática por la Interface virtual IPSec "SitioA-SitioB-3" con distancia 10Figura 15.

Cuarta ruta estática por la Interface virtual IPSec "SitioA-SitioB-4" con distancia 20Figura 16.

Paso 5: Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces

En este punto, es necesario, declarar los "objetos" de Direcciones IP tanto para la Red "LAN Local", como para la Red "LAN Remota". Esto lo hacemos dentro de: Firewall >> Address >> Address > Create New Ver figura 17 y 18. Paso que debemos

repetir para crear ambos objetos de redes.Figura 17.

Figura 18.

En este punto, creamos todas las políticas necesarias, entre las Interfaces virtuales IPSec y las Interfaces locales para/desde las cuales queremos permitir tráfico de las VPNs. Las polítas de Firewall las crearemos navegando en: Firewall >> Policy >> Policy >> Create NewPolitica entre las interfaces Internal y SitioA-SitioB

Figura 19.

Politica entre las interfaces SitioA-SitioB e Internal

Figura 20

Politica entre las interfaces Internal y SitioA-SitioB-2

Figura 21.

Politica entre las interfaces SitioA-SitioB-2 e Internal

Figura 22.

Figura 23.

Figura 24.

Figura 25.

Figura 26.

Configurando el FortiGate SitioPaso 6 Configuración las Interfaces donde crearemos las VPNVer procedimient Paso

Para la Internal

Figura 27.

Para la WAN1

Figura 28.

Para la WAN2

Figura 29.

Paso 7 Configuración de la fase 1 para cada uno de los cuatro posibles camino

Primera fase 1, para la WAN1

Figura 30

Segunda fase 1, para la WAN1

Figura 31

Tercera fase 1, para la WAN2

Figura 32

Cuarta fase 1, para la WANFigura 3

Paso 8 Configuración de la fase 2 para cada uno de los cuatro posibles caminoAhora nos toca asociar cada una de las Fases I creadas, a las Fases II, para lo cual vamos a VPN >> IPSec >> Auto Key (IKE >> Create Ne

Creando primera fase 2, para WAN

Figura 34.

Creando segunda fase 2, para WAN1Figura 35.

Creando tercera fase 2, para WAN2Figura 36.

Creando cuarta fase 2, para WAN2Figura 37.

Paso 9: Configuración de Rutas para las cuatro interfaces virtuales de IPSec

Creamos ahora las rutas para el envío de trafico por las interfaces Virtuales de IPsec desde: Router >> Static >> Create NewPrimera ruta estática por la Interface virtual IPSec "SitioB-SitioA" con distancia 10Figura 38.

Segunda ruta estática por la Interface virtual IPSec "SitioB-SitioA-2" con distancia 10Figura 39.

Tercera ruta estática por la Interface virtual IPSec "SitioB-SitioA-3" con distancia 10Figura 40.

Cuarta ruta estática por la Interface virtual IPSec "SitioB-SitioA-4" con distancia 10Figura 41.

Paso 10: Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces

Configuramos ahora los objetos de Direcciones IP para la Red Local y la Red Remota: Firewall >> Address >> Address > Create New

Creando Objeto Red Local:Figura 42

Creando Objeto Red Remota:Figura 43.

Seguidamente Creamos las Políticas de Firewall entre todas las Interfaces involucradas. Firewall >> Policy >> Policy >>

Create New

Politica entre las interfaces Internal y SitioB-SitioA

Figura 44.

Politica entre las interfaces SitioB-SitioA e Internal

Figura 45

Politica entre las interfaces Internal y SitioB-SitioA-2

Figura 46

Politica entre las interfaces SitioB-SitioA-2 e Internal

Figura 47

Figura 48

Figura 49

Figura 50

Figura 51.

Monitoreo y Diagnóstico

A través de la GUI, visualizar algunos status de los tuneles, como se muestra en la figura 16. Aunque se puede tener detalles mas completos a en la sección de Log&Report >> Log Access >> Event

Figura 16:

Por la CLI podremos tener información mucho mas específica, a traves de los siguientes comandos:diagnose debug enablediagnose debug application ike 1

Los cuales solo deben estar habilitados mientras estamos haciendo diagnostico, luego se debe de desabilitar el debug

Haciendo ping desde un Equipo de la LAN Remota hacia la Red Local del Dialup Server:ping 172.16.2.1PING 172.16.2.1 (172.16.2.1): 56 data bytes64 bytes from 172.16.2.1: icmp_seq=0 ttl=255 time=1.2 ms64 bytes from 172.16.2.1: icmp_seq=1 ttl=255 time=0.5 ms64 bytes from 172.16.2.1: icmp_seq=2 ttl=255 time=0.4 ms

64 bytes from 172.16.2.1: icmp_seq=3 ttl=255 time=0.5 ms64 bytes from 172.16.2.1: icmp_seq=4 ttl=255 time=0.4 ms

Realacionados : Configuración de VPN Dialup User (FortiClient)Configuración de VPN Dialup Client - Policy-basedConfiguración de VPN IPSec en Interface ModeConfiguración de VPN IPSEC de Fortigate a Fortigate modo TúnelConfiguración de VPN con Dynamic DNSConfiguración de VPN FortiGate Dialup ClientCreación de una VPN SSL en Fortigate versión 4.0Configuración de VPN IPSec con FortiCliente - Policy Server

Referencias:http://kb.fortinet.comhttp://docs.fortinet.com/

You can view this article online at:http://www.soportejm.com.sv/kb/index.php/article/ipsecdualwan

FortiGate VPN Configuration

Documents

Transcript of FortiGate VPN Configuration