Professional Documents
Culture Documents
FortigateVPNIPSEC
FortigateVPNIPSEC
VPNconIPSEC,
EnesteprocedimientoseexplicacmoconfigurarunaVPNusandoIPSecparaconectarseconunPCcualquiera
desdeinternetalaLANdelaorganizacin.TodoeltrficoiraencriptadomedianteIPSec.ParaconectarnosalaVPN
loharemosmedianteelsoftware"FortiClient".Seexplicandospartes:
ConfiguracindelfirewallAKI
Instalacin,configuracinyconexindelclienteVPNenunpuestoAKI
ConfiguracindelaVPNenelFortigate,
Bueno,loprimerodetodo,paraconfigurarelfirewallqueacepteVPN'syconfigurarlasdeformasegura,nos
logeamosenl,vamosenelmendelaizquierdaa"VPN">"IPSEC"ytenemosquecrearlaprimerafasedesde
"CreatePhase1".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
1/19
6/12/2015
FortigateVPNIPSEC
Tenemosqueconfigurartodaslassiguientesopciones:
"Name":leponemosunocualquiera,enmiejemplo"vpnp1".
"RemoteGateway":Eltipodeconexinquetendremosdeentrada,enmicasoparaconectarnosdesdecualquierPC
conelFortiClientes"DialupUser".
"Localinterface":Aqueinterfazleentrarnlasconexiones,lonormalWAN1oWAN2,enmicaso"WAN1".
"Mode":"Main"
"AuthenticationMethod":Laopcinqueyoheelegidoesponerleunacontraseacomnparaqueseconectenpor
VPN,con"PresharedKey"
"PresharedKey":Metolapasswordquemeinteresa.
"Peeroptions":Indicamosqueaceptetodos>"AcceptanypeerID".
Pinchamosenelbotn"Advanced..."paravermsopcionesdelaconexin.
Tenemosdosopcionesdeconexinsegura,elegimoslasmsseguras,ahorasloquedaquelosclientessean
compatibles,enmicasolaprimeraser"Encryption":"3DES"y"Authentication":"SHA1"ysiestaconexinnofuera
posible,lasiguienteser:"Encryption":"3DES"y"Authentication":"MD5".
"DHGroup":Marcamosnicamente"5".
"Keylife":Pordefecto28800.
"XAuth":Lahabilitaremosperocomoservidor,"Enableasserver".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
2/19
6/12/2015
FortigateVPNIPSEC
"Servertype":PAP.
"UserGroup":SeleccionamoselgrupodeusuariosquepuedenconectarseaestaVPN,asquetodoslosusuarios
quenosinteresenqueseconectenlosdebemosdemeterenestegrupo(ysinoexiste,pueslocreamosymetemos
aunosusuariosdeprueba).
"NatTrasversal":Lahabilitamos"Enable".
"KeepaliveFrecuency":10queeselvalorquevienepredeterminado.
"DeadPeerDetection":Tambinhabilitado,"Enable".
Unavezquetenemosaslosvaloresaceptamos,damosa"OK".
Bien,ahorafaltacrearlaotrafase,pulsamossobre"CreatePhase2".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
3/19
6/12/2015
FortigateVPNIPSEC
Rellenamoslamismainformacinquehemosmetidoparalaprimerafase:
"Name":Elnombrequequerramos,enmicasoparasercomoelanterior,lepongo"vpnp2".
"Phase1":Seleccionolaquehecreadoantes,"vpnp1".
Pulsamossobre"Advanced..."
Ponemoslamismaencriptacinqueenlaprimerafase.
YhabilitamosPFS"Enableperfectforwardsecrecy"yelde"Enablereplaydetection".
"DHGroup"lodejamosslocon"5"
En"Keylife"ledejamoseltiempoquevienepredeterminado.
"AutokeyKeepAlive"lohabilitamos.
"DHCPIPsec"tambinparausarunservidorDHCPdelared.
Damosa"OK".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
4/19
6/12/2015
FortigateVPNIPSEC
Bien,ahoradebemoscrearunareglaparapermitirestasconexionesVPNdeInternetanuestraLAN.Paraello,
vamosa"Firewall">"Policy">Ypulsamossobre"CreateNew".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
5/19
6/12/2015
FortigateVPNIPSEC
En"Source"tenemosqueponeradondequeremosquevayalaencriptacindelaVPN,oseaeldestino(?),enmi
ejemplosera"internal".
"AddressName:all"
En"Destination"desdedondevendrlaconexin,enmiejemplotodovieneporla"wan1".
"AddressName:all"
Siemprequeremosqueestoperativo:"Schedule:always".
Quefuncionentodoslosprotocolos,quepasetodoeltrficoporlaVPN,asqueen"Service"indicamos"ANY".
Yladiferenciaesqueen"Action"tenemosqueponer"IPSEC"paraquecreuntunelseguro.
En"VPNTunnel"indicamoscualesnuestraprimerafase,enmicasoera"vpnp1"ymarcamoslosdoschecksde
"Allowinbound"y"Allowoutbound"paraquehayatraficotantoentrantecomosalienteporlaVPN,osea,queelque
seconectepuedaaccederarecursosdelaredysepuedaaccederal.
Damosa"OK".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
6/19
6/12/2015
FortigateVPNIPSEC
Comprobamosqueestenlasreglasde"internal>wan1"yen"Action"pone"ENCRYPT".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
7/19
6/12/2015
FortigateVPNIPSEC
Bien,ahoraloquehayquehaceresconfigurarelservicioDHCP(estoesopcional,siqueremosquecuandoalguien
senosconecteleasigneunadireccinIPono,sino,lopodemosconfigurardesdeelclienteVPN).Siqueremos
configurarlo,sera,desde"System">"DHCP">En"wan1">"Servers"yledamosal .
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
8/19
6/12/2015
FortigateVPNIPSEC
Vale,vamosacrearunservidorDHCPparalainterfaz"wan1"perosloparaconexionesVPN(IPSEC):
"Name"leindicamosunnombre,porejemplo:ServerDHCPvpn
Porsupuestoquetienequeestarhabilitado,asquemarcarelcheckde"Enable".
En"Type"ponemosquesea"IPSEC".
En"IPRange"decimoscualserelrangoIPqueselesasignaralosusuarioscuandoseconecten.Lesponemosla
mascaradereden"NetworkMask"yunapuertadeenlace(opcional),en"Domain"simplementeeseldominioque
sesuponequeestenlared.
En"LeaseTime"eseltiempoqueledurarestaasignacinIPycuandolecaduquesilnoestdisponibleyllega
otrapeticinIPselaasignaraestenuevo.
"DNSServer1",sonlosservidoresqueleresolvernlosnombres,ponemosservidoresDNSdenuestraLAN.
Damosa"OK".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
9/19
6/12/2015
FortigateVPNIPSEC
ComprobamosqueyasaleahnuestroservidorDHCPyesthabilitado.BientodalaconfiguracinenelFirewallya
estrealizada,ahoranosquedalapartedelcliente.
Instalacin,configuracinyconexindelclienteVPNenunpuestomedianteFortiClient,
EnestaparteseexplicacmoinstalarelclienteVPNllamadoFORTICLIENTyconfigurarloparaconectarnosalaVPN.
Loprimerodetodoserdescargarlodelawebhttp://www.fortinet.comodeAKI.
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
10/19
6/12/2015
FortigateVPNIPSEC
Vale,loprimero,esunainstalacinfacil,unasistente.Pulsamosen"Next",
S,aceptamoslalicencia,damosa"Next",
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
11/19
6/12/2015
FortigateVPNIPSEC
Ojo!!noharemosunainstalacincompleta,yaqueesonosinstalarhastaunantivirusysitenemosdosantivirusen
elmismoPCyasesabeloquepasa,sebloqueaelPC.Asqueinstalacinpersonalizada,"Custom"y"Next",
Sloseleccionamos"IPSecVPN"paraconectarnosporlaVPNbastara,damosa"Next",
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
12/19
6/12/2015
FortigateVPNIPSEC
E"Install"paraquecomienceainstalar...
...
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
13/19
6/12/2015
FortigateVPNIPSEC
Vale,unpardesegundosyyatenemoselclienteVPNinstalado,"Finish",
ParaqueelclienteVPNfuncionebien,hayquereiniciar,esobligatorio,asquecuandosepuedasereinicia.
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
14/19
6/12/2015
FortigateVPNIPSEC
UnavezreiniciadoelPC,podemosabrirelFortiClientya,desdel,pinchamosenelbotnde"Advanced>>>">
"Add..."paracrearunaconexinVPN.
Leponemosunnombrealaconexin,ypodemosdecirlesilaconfiguracinIPesautomaticaomanual,siyahemos
configuradounservidorDHCPenelfirewallpodemosponer"Automatic",sino,"Manual"yponerunaconfiguracin
deredparaquetrabajeconlainterfaz"internal".En"AuthenticationMethod"elegimos"PresharedKey",estaserla
quepusimosantesenlaconfiguracindelafase1enelfirewall.Damos"Advanced..."
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
15/19
6/12/2015
FortigateVPNIPSEC
MarcamosXAuth"eXtendedAuthentication"yenRemoteNetworkleponemoscualeslaredremotaalaquesevaa
conectar(elrango).Damosa"OK".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
16/19
6/12/2015
FortigateVPNIPSEC
Conestoyaest,ahorasloquedaconectarse,paraellopulsamosalbotnde"Connect"yesperaraquese
conecte...
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
17/19
6/12/2015
FortigateVPNIPSEC
Nospedirusuarioycontraseaparaconectarse,yaqueanteshemospuestoalahoradeconfigurarlafase1quea
estaVPNslosepuedanconectarlosusuariosdelgrupo"GrupoVPNssl",metemoselusuarioyelpassworddeun
usuariopertenecienteatalgrupoydamosa"OK",podemosdecirlequerecuerdelacontraseamarcandoelcheck
de"Remembermypassword".
VemosqueenlabarradeherramientaseliconodelaredVPNdeForticlientseestconectando...
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
18/19
6/12/2015
FortigateVPNIPSEC
YparacomprobarqueestamosconectadosenelFortiClientnospondrel"Status"queest"Up",yyapodremos
trabajardeformaseguraporlaVPNalosrecursosnecesarios.
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall
19/19