Está en la página 1de 19

6/12/2015

FortigateVPNIPSEC

FortigateVPNIPSEC

VPNconIPSEC,
EnesteprocedimientoseexplicacmoconfigurarunaVPNusandoIPSecparaconectarseconunPCcualquiera
desdeinternetalaLANdelaorganizacin.TodoeltrficoiraencriptadomedianteIPSec.ParaconectarnosalaVPN
loharemosmedianteelsoftware"FortiClient".Seexplicandospartes:
ConfiguracindelfirewallAKI
Instalacin,configuracinyconexindelclienteVPNenunpuestoAKI

ConfiguracindelaVPNenelFortigate,

Bueno,loprimerodetodo,paraconfigurarelfirewallqueacepteVPN'syconfigurarlasdeformasegura,nos
logeamosenl,vamosenelmendelaizquierdaa"VPN">"IPSEC"ytenemosquecrearlaprimerafasedesde
"CreatePhase1".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

1/19

6/12/2015

FortigateVPNIPSEC

Tenemosqueconfigurartodaslassiguientesopciones:
"Name":leponemosunocualquiera,enmiejemplo"vpnp1".
"RemoteGateway":Eltipodeconexinquetendremosdeentrada,enmicasoparaconectarnosdesdecualquierPC
conelFortiClientes"DialupUser".
"Localinterface":Aqueinterfazleentrarnlasconexiones,lonormalWAN1oWAN2,enmicaso"WAN1".
"Mode":"Main"
"AuthenticationMethod":Laopcinqueyoheelegidoesponerleunacontraseacomnparaqueseconectenpor
VPN,con"PresharedKey"
"PresharedKey":Metolapasswordquemeinteresa.
"Peeroptions":Indicamosqueaceptetodos>"AcceptanypeerID".
Pinchamosenelbotn"Advanced..."paravermsopcionesdelaconexin.
Tenemosdosopcionesdeconexinsegura,elegimoslasmsseguras,ahorasloquedaquelosclientessean
compatibles,enmicasolaprimeraser"Encryption":"3DES"y"Authentication":"SHA1"ysiestaconexinnofuera
posible,lasiguienteser:"Encryption":"3DES"y"Authentication":"MD5".
"DHGroup":Marcamosnicamente"5".
"Keylife":Pordefecto28800.
"XAuth":Lahabilitaremosperocomoservidor,"Enableasserver".
http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

2/19

6/12/2015

FortigateVPNIPSEC

"Servertype":PAP.
"UserGroup":SeleccionamoselgrupodeusuariosquepuedenconectarseaestaVPN,asquetodoslosusuarios
quenosinteresenqueseconectenlosdebemosdemeterenestegrupo(ysinoexiste,pueslocreamosymetemos
aunosusuariosdeprueba).
"NatTrasversal":Lahabilitamos"Enable".
"KeepaliveFrecuency":10queeselvalorquevienepredeterminado.
"DeadPeerDetection":Tambinhabilitado,"Enable".
Unavezquetenemosaslosvaloresaceptamos,damosa"OK".

Bien,ahorafaltacrearlaotrafase,pulsamossobre"CreatePhase2".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

3/19

6/12/2015

FortigateVPNIPSEC

Rellenamoslamismainformacinquehemosmetidoparalaprimerafase:
"Name":Elnombrequequerramos,enmicasoparasercomoelanterior,lepongo"vpnp2".
"Phase1":Seleccionolaquehecreadoantes,"vpnp1".
Pulsamossobre"Advanced..."
Ponemoslamismaencriptacinqueenlaprimerafase.
YhabilitamosPFS"Enableperfectforwardsecrecy"yelde"Enablereplaydetection".
"DHGroup"lodejamosslocon"5"
En"Keylife"ledejamoseltiempoquevienepredeterminado.
"AutokeyKeepAlive"lohabilitamos.
"DHCPIPsec"tambinparausarunservidorDHCPdelared.
Damosa"OK".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

4/19

6/12/2015

FortigateVPNIPSEC

Bien,ahoradebemoscrearunareglaparapermitirestasconexionesVPNdeInternetanuestraLAN.Paraello,
vamosa"Firewall">"Policy">Ypulsamossobre"CreateNew".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

5/19

6/12/2015

FortigateVPNIPSEC

En"Source"tenemosqueponeradondequeremosquevayalaencriptacindelaVPN,oseaeldestino(?),enmi
ejemplosera"internal".
"AddressName:all"
En"Destination"desdedondevendrlaconexin,enmiejemplotodovieneporla"wan1".
"AddressName:all"
Siemprequeremosqueestoperativo:"Schedule:always".
Quefuncionentodoslosprotocolos,quepasetodoeltrficoporlaVPN,asqueen"Service"indicamos"ANY".
Yladiferenciaesqueen"Action"tenemosqueponer"IPSEC"paraquecreuntunelseguro.
En"VPNTunnel"indicamoscualesnuestraprimerafase,enmicasoera"vpnp1"ymarcamoslosdoschecksde
"Allowinbound"y"Allowoutbound"paraquehayatraficotantoentrantecomosalienteporlaVPN,osea,queelque
seconectepuedaaccederarecursosdelaredysepuedaaccederal.
Damosa"OK".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

6/19

6/12/2015

FortigateVPNIPSEC

Comprobamosqueestenlasreglasde"internal>wan1"yen"Action"pone"ENCRYPT".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

7/19

6/12/2015

FortigateVPNIPSEC

Bien,ahoraloquehayquehaceresconfigurarelservicioDHCP(estoesopcional,siqueremosquecuandoalguien
senosconecteleasigneunadireccinIPono,sino,lopodemosconfigurardesdeelclienteVPN).Siqueremos
configurarlo,sera,desde"System">"DHCP">En"wan1">"Servers"yledamosal .

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

8/19

6/12/2015

FortigateVPNIPSEC

Vale,vamosacrearunservidorDHCPparalainterfaz"wan1"perosloparaconexionesVPN(IPSEC):
"Name"leindicamosunnombre,porejemplo:ServerDHCPvpn
Porsupuestoquetienequeestarhabilitado,asquemarcarelcheckde"Enable".
En"Type"ponemosquesea"IPSEC".
En"IPRange"decimoscualserelrangoIPqueselesasignaralosusuarioscuandoseconecten.Lesponemosla
mascaradereden"NetworkMask"yunapuertadeenlace(opcional),en"Domain"simplementeeseldominioque
sesuponequeestenlared.
En"LeaseTime"eseltiempoqueledurarestaasignacinIPycuandolecaduquesilnoestdisponibleyllega
otrapeticinIPselaasignaraestenuevo.
"DNSServer1",sonlosservidoresqueleresolvernlosnombres,ponemosservidoresDNSdenuestraLAN.
Damosa"OK".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

9/19

6/12/2015

FortigateVPNIPSEC

ComprobamosqueyasaleahnuestroservidorDHCPyesthabilitado.BientodalaconfiguracinenelFirewallya
estrealizada,ahoranosquedalapartedelcliente.

Instalacin,configuracinyconexindelclienteVPNenunpuestomedianteFortiClient,
EnestaparteseexplicacmoinstalarelclienteVPNllamadoFORTICLIENTyconfigurarloparaconectarnosalaVPN.
Loprimerodetodoserdescargarlodelawebhttp://www.fortinet.comodeAKI.

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

10/19

6/12/2015

FortigateVPNIPSEC

Vale,loprimero,esunainstalacinfacil,unasistente.Pulsamosen"Next",

S,aceptamoslalicencia,damosa"Next",

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

11/19

6/12/2015

FortigateVPNIPSEC

Ojo!!noharemosunainstalacincompleta,yaqueesonosinstalarhastaunantivirusysitenemosdosantivirusen
elmismoPCyasesabeloquepasa,sebloqueaelPC.Asqueinstalacinpersonalizada,"Custom"y"Next",

Sloseleccionamos"IPSecVPN"paraconectarnosporlaVPNbastara,damosa"Next",

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

12/19

6/12/2015

FortigateVPNIPSEC

E"Install"paraquecomienceainstalar...

...

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

13/19

6/12/2015

FortigateVPNIPSEC

Vale,unpardesegundosyyatenemoselclienteVPNinstalado,"Finish",

ParaqueelclienteVPNfuncionebien,hayquereiniciar,esobligatorio,asquecuandosepuedasereinicia.

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

14/19

6/12/2015

FortigateVPNIPSEC

UnavezreiniciadoelPC,podemosabrirelFortiClientya,desdel,pinchamosenelbotnde"Advanced>>>">
"Add..."paracrearunaconexinVPN.

Leponemosunnombrealaconexin,ypodemosdecirlesilaconfiguracinIPesautomaticaomanual,siyahemos
configuradounservidorDHCPenelfirewallpodemosponer"Automatic",sino,"Manual"yponerunaconfiguracin
deredparaquetrabajeconlainterfaz"internal".En"AuthenticationMethod"elegimos"PresharedKey",estaserla
quepusimosantesenlaconfiguracindelafase1enelfirewall.Damos"Advanced..."

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

15/19

6/12/2015

FortigateVPNIPSEC

MarcamosXAuth"eXtendedAuthentication"yenRemoteNetworkleponemoscualeslaredremotaalaquesevaa
conectar(elrango).Damosa"OK".

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

16/19

6/12/2015

FortigateVPNIPSEC

Conestoyaest,ahorasloquedaconectarse,paraellopulsamosalbotnde"Connect"yesperaraquese
conecte...

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

17/19

6/12/2015

FortigateVPNIPSEC

Nospedirusuarioycontraseaparaconectarse,yaqueanteshemospuestoalahoradeconfigurarlafase1quea
estaVPNslosepuedanconectarlosusuariosdelgrupo"GrupoVPNssl",metemoselusuarioyelpassworddeun
usuariopertenecienteatalgrupoydamosa"OK",podemosdecirlequerecuerdelacontraseamarcandoelcheck
de"Remembermypassword".

VemosqueenlabarradeherramientaseliconodelaredVPNdeForticlientseestconectando...

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

18/19

6/12/2015

FortigateVPNIPSEC

YparacomprobarqueestamosconectadosenelFortiClientnospondrel"Status"queest"Up",yyapodremos
trabajardeformaseguraporlaVPNalosrecursosnecesarios.

http://www.bujarra.com/ProcedimientoFortigateVPNIPSec.html#vpnfirewall

19/19