Scribd Logo
Upload

Welcome to Scribd!

  • Fortigate - VPN Ipsec

    Uploaded by

    Julio Coronado
    194 views19 pages
    Instaltion Forticlient VPN

    Copyright

    © © All Rights Reserved

    Available Formats

    PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document
    Instaltion Forticlient VPN

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    194 views19 pages

    Fortigate - VPN Ipsec

    Uploaded by

    Julio Coronado
    Instaltion Forticlient VPN

    Copyright:

    © All Rights Reserved
    Download as PDF, TXT or read online from Scribd
    Flag for inappropriate content
    of 19

    6/12/2015

    FortigateVPNIPSEC

    FortigateVPNIPSEC

    VPNconIPSEC,
    EnesteprocedimientoseexplicacmoconfigurarunaVPNusandoIPSecparaconectarseconunPCcualquiera
    desdeinternetalaLANdelaorganizacin.TodoeltrficoiraencriptadomedianteIPSec.ParaconectarnosalaVPN
    loharemosmedianteelsoftware"FortiClient".Seexplicandospartes:
    ConfiguracindelfirewallAKI
    Instalacin,configuracinyconexindelclienteVPNenunpuestoAKI

    ConfiguracindelaVPNenelFortigate,

    Bueno,loprimerodetodo,paraconfigurarelfirewallqueacepteVPN'syconfigurarlasdeformasegura,nos
    logeamosenl,vamosenelmendelaizquierdaa"VPN">"IPSEC"ytenemosquecrearlaprimerafasedesde
    "CreatePhase1".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    1/19

    6/12/2015

    FortigateVPNIPSEC

    Tenemosqueconfigurartodaslassiguientesopciones:
    "Name":leponemosunocualquiera,enmiejemplo"vpnp1".
    "RemoteGateway":Eltipodeconexinquetendremosdeentrada,enmicasoparaconectarnosdesdecualquierPC
    conelFortiClientes"DialupUser".
    "Localinterface":Aqueinterfazleentrarnlasconexiones,lonormalWAN1oWAN2,enmicaso"WAN1".
    "Mode":"Main"
    "AuthenticationMethod":Laopcinqueyoheelegidoesponerleunacontraseacomnparaqueseconectenpor
    VPN,con"PresharedKey"
    "PresharedKey":Metolapasswordquemeinteresa.
    "Peeroptions":Indicamosqueaceptetodos>"AcceptanypeerID".
    Pinchamosenelbotn"Advanced..."paravermsopcionesdelaconexin.
    Tenemosdosopcionesdeconexinsegura,elegimoslasmsseguras,ahorasloquedaquelosclientessean
    compatibles,enmicasolaprimeraser"Encryption":"3DES"y"Authentication":"SHA1"ysiestaconexinnofuera
    posible,lasiguienteser:"Encryption":"3DES"y"Authentication":"MD5".
    "DHGroup":Marcamosnicamente"5".
    "Keylife":Pordefecto28800.
    "XAuth":Lahabilitaremosperocomoservidor,"Enableasserver".
    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    2/19

    6/12/2015

    FortigateVPNIPSEC

    "Servertype":PAP.
    "UserGroup":SeleccionamoselgrupodeusuariosquepuedenconectarseaestaVPN,asquetodoslosusuarios
    quenosinteresenqueseconectenlosdebemosdemeterenestegrupo(ysinoexiste,pueslocreamosymetemos
    aunosusuariosdeprueba).
    "NatTrasversal":Lahabilitamos"Enable".
    "KeepaliveFrecuency":10queeselvalorquevienepredeterminado.
    "DeadPeerDetection":Tambinhabilitado,"Enable".
    Unavezquetenemosaslosvaloresaceptamos,damosa"OK".

    Bien,ahorafaltacrearlaotrafase,pulsamossobre"CreatePhase2".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    3/19

    6/12/2015

    FortigateVPNIPSEC

    Rellenamoslamismainformacinquehemosmetidoparalaprimerafase:
    "Name":Elnombrequequerramos,enmicasoparasercomoelanterior,lepongo"vpnp2".
    "Phase1":Seleccionolaquehecreadoantes,"vpnp1".
    Pulsamossobre"Advanced..."
    Ponemoslamismaencriptacinqueenlaprimerafase.
    YhabilitamosPFS"Enableperfectforwardsecrecy"yelde"Enablereplaydetection".
    "DHGroup"lodejamosslocon"5"
    En"Keylife"ledejamoseltiempoquevienepredeterminado.
    "AutokeyKeepAlive"lohabilitamos.
    "DHCPIPsec"tambinparausarunservidorDHCPdelared.
    Damosa"OK".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    4/19

    6/12/2015

    FortigateVPNIPSEC

    Bien,ahoradebemoscrearunareglaparapermitirestasconexionesVPNdeInternetanuestraLAN.Paraello,
    vamosa"Firewall">"Policy">Ypulsamossobre"CreateNew".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    5/19

    6/12/2015

    FortigateVPNIPSEC

    En"Source"tenemosqueponeradondequeremosquevayalaencriptacindelaVPN,oseaeldestino(?),enmi
    ejemplosera"internal".
    "AddressName:all"
    En"Destination"desdedondevendrlaconexin,enmiejemplotodovieneporla"wan1".
    "AddressName:all"
    Siemprequeremosqueestoperativo:"Schedule:always".
    Quefuncionentodoslosprotocolos,quepasetodoeltrficoporlaVPN,asqueen"Service"indicamos"ANY".
    Yladiferenciaesqueen"Action"tenemosqueponer"IPSEC"paraquecreuntunelseguro.
    En"VPNTunnel"indicamoscualesnuestraprimerafase,enmicasoera"vpnp1"ymarcamoslosdoschecksde
    "Allowinbound"y"Allowoutbound"paraquehayatraficotantoentrantecomosalienteporlaVPN,osea,queelque
    seconectepuedaaccederarecursosdelaredysepuedaaccederal.
    Damosa"OK".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    6/19

    6/12/2015

    FortigateVPNIPSEC

    Comprobamosqueestenlasreglasde"internal>wan1"yen"Action"pone"ENCRYPT".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    7/19

    6/12/2015

    FortigateVPNIPSEC

    Bien,ahoraloquehayquehaceresconfigurarelservicioDHCP(estoesopcional,siqueremosquecuandoalguien
    senosconecteleasigneunadireccinIPono,sino,lopodemosconfigurardesdeelclienteVPN).Siqueremos
    configurarlo,sera,desde"System">"DHCP">En"wan1">"Servers"yledamosal .

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    8/19

    6/12/2015

    FortigateVPNIPSEC

    Vale,vamosacrearunservidorDHCPparalainterfaz"wan1"perosloparaconexionesVPN(IPSEC):
    "Name"leindicamosunnombre,porejemplo:ServerDHCPvpn
    Porsupuestoquetienequeestarhabilitado,asquemarcarelcheckde"Enable".
    En"Type"ponemosquesea"IPSEC".
    En"IPRange"decimoscualserelrangoIPqueselesasignaralosusuarioscuandoseconecten.Lesponemosla
    mascaradereden"NetworkMask"yunapuertadeenlace(opcional),en"Domain"simplementeeseldominioque
    sesuponequeestenlared.
    En"LeaseTime"eseltiempoqueledurarestaasignacinIPycuandolecaduquesilnoestdisponibleyllega
    otrapeticinIPselaasignaraestenuevo.
    "DNSServer1",sonlosservidoresqueleresolvernlosnombres,ponemosservidoresDNSdenuestraLAN.
    Damosa"OK".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    9/19

    6/12/2015

    FortigateVPNIPSEC

    ComprobamosqueyasaleahnuestroservidorDHCPyesthabilitado.BientodalaconfiguracinenelFirewallya
    estrealizada,ahoranosquedalapartedelcliente.

    Instalacin,configuracinyconexindelclienteVPNenunpuestomedianteFortiClient,
    EnestaparteseexplicacmoinstalarelclienteVPNllamadoFORTICLIENTyconfigurarloparaconectarnosalaVPN.
    Loprimerodetodoserdescargarlodelawebhttp://www.fortinet.comodeAKI.

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    10/19

    6/12/2015

    FortigateVPNIPSEC

    Vale,loprimero,esunainstalacinfacil,unasistente.Pulsamosen"Next",

    S,aceptamoslalicencia,damosa"Next",

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    11/19

    6/12/2015

    FortigateVPNIPSEC

    Ojo!!noharemosunainstalacincompleta,yaqueesonosinstalarhastaunantivirusysitenemosdosantivirusen
    elmismoPCyasesabeloquepasa,sebloqueaelPC.Asqueinstalacinpersonalizada,"Custom"y"Next",

    Sloseleccionamos"IPSecVPN"paraconectarnosporlaVPNbastara,damosa"Next",

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    12/19

    6/12/2015

    FortigateVPNIPSEC

    E"Install"paraquecomienceainstalar...

    ...

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    13/19

    6/12/2015

    FortigateVPNIPSEC

    Vale,unpardesegundosyyatenemoselclienteVPNinstalado,"Finish",

    ParaqueelclienteVPNfuncionebien,hayquereiniciar,esobligatorio,asquecuandosepuedasereinicia.

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    14/19

    6/12/2015

    FortigateVPNIPSEC

    UnavezreiniciadoelPC,podemosabrirelFortiClientya,desdel,pinchamosenelbotnde"Advanced>>>">
    "Add..."paracrearunaconexinVPN.

    Leponemosunnombrealaconexin,ypodemosdecirlesilaconfiguracinIPesautomaticaomanual,siyahemos
    configuradounservidorDHCPenelfirewallpodemosponer"Automatic",sino,"Manual"yponerunaconfiguracin
    deredparaquetrabajeconlainterfaz"internal".En"AuthenticationMethod"elegimos"PresharedKey",estaserla
    quepusimosantesenlaconfiguracindelafase1enelfirewall.Damos"Advanced..."

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    15/19

    6/12/2015

    FortigateVPNIPSEC

    MarcamosXAuth"eXtendedAuthentication"yenRemoteNetworkleponemoscualeslaredremotaalaquesevaa
    conectar(elrango).Damosa"OK".

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    16/19

    6/12/2015

    FortigateVPNIPSEC

    Conestoyaest,ahorasloquedaconectarse,paraellopulsamosalbotnde"Connect"yesperaraquese
    conecte...

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    17/19

    6/12/2015

    FortigateVPNIPSEC

    Nospedirusuarioycontraseaparaconectarse,yaqueanteshemospuestoalahoradeconfigurarlafase1quea
    estaVPNslosepuedanconectarlosusuariosdelgrupo"GrupoVPNssl",metemoselusuarioyelpassworddeun
    usuariopertenecienteatalgrupoydamosa"OK",podemosdecirlequerecuerdelacontraseamarcandoelcheck
    de"Remembermypassword".

    VemosqueenlabarradeherramientaseliconodelaredVPNdeForticlientseestconectando...

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    18/19

    6/12/2015

    FortigateVPNIPSEC

    YparacomprobarqueestamosconectadosenelFortiClientnospondrel"Status"queest"Up",yyapodremos
    trabajardeformaseguraporlaVPNalosrecursosnecesarios.

    http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

    19/19

    You might also like