Configuracin de VPN IPSEC de

Fortigate a Fortigate modo Tnel

Autor Luis Cruz January 15, 2010 | Imprimir | Agregar a favoritos

Configuration of an IPSEC VPN from Fortigate to Fortigate in
Tunnel Mode

Marca Fortigate
Modelo Aplica a todos los modelos
Version firmware v3.0 y v 4.0
A continuacion se explicar como crear una VPN ipsec, modo tnel de un fortigate a
fortigate:
Ingresamos al fortigate 1, nos vamos al men firewall-> address , le damos click en
crear nuevo.

Nos aparecer la siguiente ventana, en donde:
Address Name: < nombre de la red >
Type: < colocamos la IP, la red completa, rango de la red, o un FQDN >
Subnet / IP range: < colocamos la red completa en este caso > ( ej: 192.168.2.0/24 )
Interface: < colocar la interfaz para la cual sera usada el rango > ( si no se sabe, o se
usar en varias interfaces dejarla en any )
// Hacer el procedimiento 2 veces en cada fortigate uno para la red local y otro para la red
remota. ( ej: red_ local 192.168.2.0/24 , red_remota 192.168.4.0/24 , sera al contrario en
el otro fortigate, las redes en ambos extremos DEBEN SER DIFERENTES para no tener
problemas al levantar el tunel ).

Ahora debemos ir al men vpn -> ipsec

Damos click en create phase 1

Tendremos la siguiente pantalla de configuracin:
Name: < nombre de la vpn > (ej: vpn_es_gt )
Remote Gateway: < Static IP address > ( seleccionar cuando sea una IP fija )
IP Address: < ip pblica equipo destino >
Local interface: < Interface de salida del tnel > ( enlace o interface del fortinet por el
cul el tnel se conectar al otro )
Mode : <Agressive >< Main > ( Se debe escoger uno, debe ser el mismo en ambos
equipos )
Authentication: < Preshared Key > ( si se escoge una llave, debe ser la misma en ambos
equipos )
Preshared key: < clave o llave > ( ej: 123456 , debe ser la misma en el FG remoto )
P1 Proporsal: encryption, authentication ( se pueden dejar los que vienen default, en
ambos equipos deben ser las mismas, entre las opciones tenemos : DES, DES, AES,
SHA1, MD5 )
Dh group : <1,2,5,14 > (seleccionar uno, en ambos tiene que ser el mismo )
Key life: <28,800> (vine por default, puede ser configurado con valores entre 120 -
172800 )
Dar clic en OK


Ahora damos click en crear fase 2
Tendremos la siguiente pantalla de configuracin:
Name: < nombre de la fase 2 > (ej: mifase2 )
phase1 : < nombre de la fase 1 > (seleccionamos la fase 1 que correspondera a esta fase
)
Dar click en advanced (para otras opciones de configuracion )
P2 proporsal : < Encryption ><Authentication > ( se pueden dejar los que vienen default,
en ambos equipos deben ser las mismas, entre las opciones tenemos : DES, DES, AES,
SHA1, MD5 )
Activar el enable replay detection
Activar el PFS
Dh group : <1,2,5,14 > (seleccionar uno, en ambos tiene que ser el mismo )
key life: < 1,800> ( viene por defecto )
Autokey keep alive < Enable > ( activarlo si deseamos que al reiniciarse el equipo la VPN
levante sola )
clic en ok


Ahora podemos visualizar el listado de vpn's que tenemos configuradas


Ahora procedemos a crear la poltica para nuestra VPN.
Nos vamos a firewall -> policy , le damos click en crear nueva poltica:
source interface: < interfaz interna de nuestra red > (ej: internal, dmz )
source address: < rango de la red interna > ( la buscamos en el listado que nos aparece,
ya la habiamos creado anteriormente, en este caso red_interna, ej: 192.168.2.0/24 )
Destination interface: < interfaz de salida del tnel > (ej: wan1, wan2, dmz )
Destination address : < rango de la red remota > ( la buscamos en el listado, ya habia
sido creada anteriormente, en este caso red_remota , ej : 192.168.4.0/24 )
Schedule: < Horario de activacin de la politica > (por defecto es always, para que
siempre este activa, caso contrario se crea un horario de activacin )
Service: < servicios para el tnel > ( por defecto es any, podemos crear un listado
personalizado de protocolos/servicios que desean que atraviesen el tnel )
Action: < ipsec > ( en este caso por ser un tunel vpn ipsec )
Vpn tunnel : < seleccionar el tnel a utilizar >
Protection profile : < perfil de proteccion > (podemos crear un perfil de proteccin para
esta VPN )
Traffic shaping: <si deseamos reservar cierto ancho de banda de nuestro enlace al tnel >
Log allowed traffic : < Enabled > (para que en los logs del fortigate nos aparezcan
eventos de la VPN, debemos activarlo )
Click en ok.

Ahora podemos visualizar la poltica que acabamos de crear, con el cuidado que sea la
primera poltica de ese grupo, y veremos que al final nos aparece la palabra "encrypt
".

Ahora procedemos a activar/ levantar el tnel VPN, nos vamos nuevamente a vpn -
>ipsec y buscamos la pestaa que dice monitor.
Ahi al final despues de toda la informacin de la VPN se encuentra el STATUS en
donde al darle click dice levantar el tnel o bajar el tnel segn sea lo requerido.