Configuración de VPN IPSEC de Fortigate a Fortigate modo Túnel

Autor

A PHP Error was encountered

Severity: Notice

Message: Trying to get property of non-object

Filename: default/article.php

Line Number: 17

A PHP Error was encountered

Severity: Notice

Message: Trying to get property of non-object

Filename: default/article.php

Line Number: 17

January 15, 2010 | Imprimir | Agregar a favoritos

Configuration of an IPSEC VPN from Fortigate to Fortigate in Tunnel Mode


Marca Fortigate
Modelo  Aplica a todos los modelos
Version firmware  v3.0 y v 4.0

A continuacion se explicará como crear una VPN ipsec, modo túnel de un fortigate a fortigate:

  • Ingresamos al fortigate 1, nos vamos al menú  firewall-> address , le damos click en crear nuevo.

  • Nos aparecerá la siguiente ventana, en donde:

Address Name: < nombre de la red >

Type: < colocamos la IP, la red completa, rango de la red, o un FQDN >

Subnet / IP range: < colocamos la red completa en este caso > ( ej: 192.168.2.0/24 )

Interface:  < colocar la interfaz para la cual sera usada el rango > ( si no se sabe, o se usará en varias interfaces dejarla en any )

// Hacer el procedimiento 2 veces en cada fortigate uno para la red local y otro para la red remota. ( ej: red_ local 192.168.2.0/24 , red_remota 192.168.4.0/24 , sera al contrario en el otro fortigate, las redes en ambos extremos DEBEN SER DIFERENTES  para no tener problemas al levantar el tunel ).

  • Ahora debemos ir al menú vpn -> ipsec

  • Damos click en create phase 1

  • Tendremos la siguiente pantalla de configuración:

Name: < nombre de la vpn > (ej: vpn_es_gt )

Remote Gateway: < Static IP address > ( seleccionar cuando sea una IP fija )

IP Address: < ip pública equipo destino >

Local interface: < Interface de salida del túnel > ( enlace o interface del fortinet por el cuál el túnel se conectará al otro )

Mode : <Agressive >< Main > ( Se debe escoger uno, debe ser el mismo en ambos equipos )

Authentication: < Preshared Key > ( si se escoge una llave, debe ser la misma en ambos equipos )

Preshared key: < clave o llave > ( ej: 123456 , debe ser la misma en el FG remoto )

P1 Proporsal: encryption, authentication ( se pueden dejar los que vienen default, en ambos equipos deben ser las mismas, entre las opciones tenemos : DES, ·DES, AES, SHA1, MD5 )

Dh group : <1,2,5,14 > (seleccionar uno, en ambos tiene que ser el mismo )

Key life: <28,800> (vine por default, puede ser configurado con valores entre 120 - 172800 )

Dar clic en OK

 

  •  Ahora damos click en crear fase 2
  • Tendremos la siguiente pantalla de configuración:

Name: < nombre de la fase 2 > (ej: mifase2 )

phase1 : < nombre de la fase 1 > (seleccionamos la fase 1 que correspondera a esta fase )

Dar click en advanced  (para otras opciones de configuracion )

P2 proporsal : < Encryption ><Authentication > ( se pueden dejar los que vienen default, en ambos equipos deben ser las mismas, entre las opciones tenemos : DES, ·DES, AES, SHA1, MD5 )

Activar el enable replay detection

Activar el PFS

Dh group : <1,2,5,14 > (seleccionar uno, en ambos tiene que ser el mismo )

key life: < 1,800> ( viene por defecto )

Autokey keep alive < Enable > ( activarlo si deseamos que al reiniciarse el equipo la VPN levante sola )

clic en ok

 

  •  Ahora podemos visualizar el listado de vpn's que tenemos configuradas

 

  • Ahora procedemos a crear la política para nuestra VPN.
  • Nos vamos a firewall -> policy , le damos click en crear nueva política:

source interface: < interfaz interna de nuestra red > (ej: internal, dmz )

source address: < rango de la red interna > ( la buscamos en el listado que nos aparece, ya la habiamos creado anteriormente, en este caso red_interna, ej: 192.168.2.0/24  )

Destination interface: < interfaz de salida del túnel > (ej: wan1, wan2, dmz )

Destination address : < rango de la red remota > ( la buscamos en el listado, ya habia sido creada anteriormente, en este caso red_remota , ej : 192.168.4.0/24 )

Schedule: < Horario de activación de la politica > (por defecto es always, para que siempre este activa, caso contrario se crea un horario de activación )

Service: < servicios para el túnel > ( por defecto es any, podemos crear un listado personalizado de protocolos/servicios que desean que atraviesen el túnel )

Action: < ipsec > ( en este caso por ser un tunel vpn ipsec )

Vpn tunnel : < seleccionar el túnel a utilizar >

Protection profile : < perfil de proteccion > (podemos crear un perfil de protección para esta VPN )

Traffic shaping: <si deseamos reservar cierto ancho de banda de nuestro enlace al túnel >

Log allowed traffic : < Enabled > (para que en los logs del fortigate nos aparezcan eventos de la VPN, debemos activarlo )

Click en ok.

  •  Ahora podemos visualizar la política que acabamos de crear, con el cuidado que sea la primera política de ese grupo, y veremos que al final nos aparece la palabra "encrypt ".

  • Ahora procedemos a activar/ levantar el túnel VPN, nos vamos nuevamente a vpn ->ipsec y buscamos la pestaña que dice monitor.
  • Ahi al final despues de toda la información de la VPN se encuentra el STATUS en donde al darle click dice levantar el túnel o bajar el túnel según sea lo requerido.

 


Realacionados :
Configuración de VPN Dialup User (FortiClient)
Configuración de VPN Dialup Client - Policy-based
Configuración de VPN IPSec en Interface Mode
Configuración de VPN IPSec Redundantes
Configuración de VPN con Dynamic DNS
Configuración de VPN FortiGate Dialup Client
Creación de una VPN SSL en Fortigate versión 4.0
Configuración de VPN IPSec con FortiCliente - Policy Server



Referencias:
http://kb.fortinet.com
http://docs.fortinet.com/

¿Encuentras este artículo de utilidad?

Si No

Categoría: FortiGates

Última actualización April 2, 2010 with 25638 views