NO REIMPRIMIR

© FORTINET LAB 6 - Red Privada Virtual con SSL

Lab 6 - Redes Privadas Virtuales con Capa de

Conexión Segura
En esta práctica de laboratorio, vamos a administrar grupos de usuarios y portales para
una Red Privada Virtual con Capa de Conexión Segura. VPN SSL (Virtual Private Network, Secure
Sockets Layer)

Objetivos
• Configurar y conectarse a una red VPN SSL.
• Habilitar la seguridad de autenticación.
• Configurar políticas cortafuego para usuarios de red VPN SSL con acceso a los recursos
de las redes privadas.

Tiempo para Completar.

Estimado: 25 minutos

Prerrequisitos
Antes de comenzar esta práctica de laboratorio, se debe restaurar el archivo de configuración
de Local-FortiGate.

Para restaurar el archivo de configuración de Local-FortiGate

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese al Panel (Dashboard), y desde el grupo System Information (Información del Sistema),
haga clic en Restore (Restaurar).

3. Haga clic en Upload (Cargar), ingrese a Desktop > Resources > FortiGate-I > SSL-VPN
y seleccione local-ssl-vpn.conf
4. Haga clic en OK (Aceptar)
5. Haga clic en OK (Aceptar) nuevamente para finalizar.

FortiGate I - Guía del Estudiante 1

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

1. Red VPN SSL en modo Solo Web

La red VPN SSL de FortiGate admite tres modos de operación: Solo Web, Reenvío de
Puerto y Túnel. En este ejercicio de laboratorio, se probará el modo Solo Web. En esta
práctica de laboratorio se permitirá a los usuarios de la red VPN, que se conecten desde la
máquina virtual Remote-Windows (Windows Remoto), acceder a la subred local (10.0.1.0/24).

Configurando los ajustes para la red VPN SSL.

Este procedimiento configura los ajustes necesarios para la red VPN SSL.

Para configurar los ajustes de la red VPN SSL.

1. Desde la máquina virtual Local-Windows, abra un navegador web e inicie sesión como
admin en la interface gráfica de Local-FortiGate en 10.0.1.254
2. Ingrese a VPN > SSL-VPN Settings (VPN > Ajustes de VPN SSL)
3. En Connection Settings (Configuración de Conexión), configure los siguientes valores:

FIELD (Campo) VALUE (Valor)

Listen on Interface (Escucha en Interface) port1
Listen on Port (Escucha en Puerto) 10443
Allow access from any host
Restrict Access (Restringir Acceso)
(Permitir el acceso desde cualquier Anfitrión)
Inactive For (Inactivo Para) 3000 seconds (3000 segundos)
Server Certificate (Certificado de Servidor) Fortinet_Factory

4. En Tunnel Mode Client Settings (Ajustes para Cliente en Modo Túnel), seleccione Automatic
Assign Addresses (Asignación Automática de Direcciones).
5. En Authentication/Portal Mapping (Autenticación/Asignación de portal), seleccione All Other
Users/Groups (Todos los demás Usuarios/Grupos) y haga clic en Edit (Editar).

6. Seleccione Portal Web-Access (Portal de Acceso Web) desde la lista desplegable y haga clic
en OK (Aceptar).
7. Haga clic en Apply (Aplicar) para guardar todos los cambios.
8. Haga clic en OK (Aceptar) para confirmar el uso del certificado integrado.

Creando un política cortafuego para la red VPN SSL.

Este procedimiento creará una política cortafuego para permitir el tráfico de usuarios de
red VPN SSL a la subred local (10.0.1.0/24).

FortiGate I - Guía del Estudiante 2

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

Para crear una política cortafuego para la red VPN SSL.

1. En Local-FortiGate, ingrese a Policy & Objects > IPv4 Policy (Política y Objetos > Política IPv4).
2. Haga clic en Create New (Crear Nuevo) y agregue la siguiente política cortafuego:

FIELD (Campo) VALUE (Valor)

Name (Nombre) SSL VPN Access
Incoming Interface (Interface Entrante) SSL-VPN tunnel interface
Outgoing Interface (Interface Saliente) port3
SSLVPN_TUNNEL_ADDR1
Source (Origen)
SSL_VPN_USERS
Destination Address (Dirección Destino) LOCAL_SUBNET
Schedule (Horario) always (Siempre)
Service (Servicio) ALL (Todos)
Action (Acción) ACCEPT (Aceptar)

3. Deshabilite NAT y haga clic en OK (Aceptar)

4. Haga clic en OK (Aceptar) para confirmar el uso del certificado integrado.

Probando la red VPN SSL.

Ahora, probaremos la red VPN SSL conectándose desde la máquina virtual Remote-
Windows

Para probar la red VPN SSL.

1. Conéctese a la máquina virtual Remote-Windows.
2. Abra un navegador web y conéctese a:
https://10.200.1.1:10443/

3. Para aceptar la advertencia de seguridad, haga clic en Advanced (Avanzado) y seleccione

Add Exception (Agregar Excepción).

4. Haga clic en Confirm Security Exception (Confirmar Excepción de Seguridad).

FortiGate I - Guía del Estudiante 3

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

Deténgase y Razone
¿Por qué se muestra esta advertencia de seguridad?
Para las conexiones SSL, FortiGate utiliza un certificado integrado, que está firmado por
una autoridad de certificación que el navegador web no confía. En la lección Certificate
Operations (Operaciones de Certificado) del curso FortiGate II, aprenderá del porqué sucede esto
y cómo solucionarlo.
5. Inicie sesión como student (Alumno) y la contraseña fortinet.
Tenga en cuenta que el portal web está utilizando la configuración predeterminada.
6. Cierre la sesión:

Agregando un marcador al portal.

Usando este procedimiento, se agregará un marcador al portal.

Para agregar un marcador al portal.

1. Regrese a la máquina virtual Local-Windows y conéctese a la interface gráfica de
Local-FortiGate.
2. Ingrese a VPN > SSL-VPN Portals (VPN > Portales VPN SSL).
3. Haga clic en la fila de acceso web y luego haga clic en Edit (Editar).

FortiGate I - Guía del Estudiante 4

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

4. En la sección Predefined Bookmarks (Marcadores Predefinidos), haga clic en Create New (Crear
Nuevo). Y realice los siguientes ajustes:

FIELD (Campo) VALUE (Valor)

Name (Nombre) Local-Windows VM

Type (Tipo) HTTP/HTTPS

URL http://10.0.1.10

Single Sign-On (Inicio de Sesión Única) Disabled (Deshabilitado)

5. Haga clic en OK (Aceptar) para cerrar el marcador.

6. Haga clic en OK (Aceptar) nuevamente para guardar la configuración del portal.

Probando el marcador.
Vamos a conectarnos a la red VPN SSL desde la máquina virtual Remote-Windows y
confirmar que se puede acceder a 10.0.1.10 desde el marcador.

Para probar el marcador.

1. Desde la máquina virtual Remote-Windows, abra un navegador web y conéctese,
nuevamente, al portal VPN SSL:
https://10.200.1.1:10443
2. Inicie sesión con la cuenta student (Alumno) y la contraseña fortinet.
3. Haga clic en el marcador de la máquina virtual Local-Windows.

4. Se conectará al servidor web que se ejecuta en la máquina virtual Local-Windows

(10.0.1.10).

FortiGate I - Guía del Estudiante 5

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

Examinando el mecanismo del modo Solo-Web (proxy HTTP

inverso)
Observe la URL en la barra de direcciones.

Qué significa eso?

Para examinar el mecanismo de proxy HTTP inverso.

1. En la barra de direcciones del navegador, observe la URL.
https://10.200.1.1:10443/proxy/.. ../http/10.O.1.10/
Si estuviera en la red local mientras accede al sitio web, la dirección sería
http://10.0.1.10. Pero, dado que está accediendo de forma remota, a través del
proxy HTTP de FortiGate, la URL es diferente.

Part of the URL (Parte de la URL) Description (Descripción)

https://10.200.1.1:10443 Indica que la conexión está encriptada con SSL/
TLS, y que el portal se encuentra en la puerta de
enlace VPN SSL port1 de FortiGate.
/proxy/..../http/ Indica que la conexión está siendo manejada por
el proxy HTTP inverso de FortiGate.
10.0.1.10 Indica la dirección IP destino del sitio web dentro
de la red privada, que se accede a través de la
VPN.

Nota: FortiGate encripta la conexión hacia el navegador. Pero la dirección IP del servidor
destino en la URL se muestra en texto claro, no está oculto para los usuarios. La conexión
secundaria, desde el proxy HTTP de FortiGate hasta el sitio web marcado, no está encriptada.

FortiGate I - Guía del Estudiante 6

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

Desconectando un usuario de la red VPN SSL.

Este procedimiento muestra cómo desconectar un usuario de la red VPN SSL desde la
interface gráfica de FortiGate.

Para desconectar un usuario de la red VPN SSL.

1. Desde la máquina virtual Local-Windows, vuelva a conectarse a la interface gráfica de
Local-FortiGate.
2. Ingrese a Monitor > SSL-VPN Monitor (Supervisión > Supervisar VPN SSL).
3. Haga clic derecho en el usuario student (Alumno) y seleccione End Session (Terminar Sesión).

FortiGate I - Guía del Estudiante 7

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

2. Red VPN SSL modo Túnel

En este ejercicio, efectuaremos la configuración de una red VPN SSL para que trabaje en
modo Túnel.

Agregando el modo Túnel.

El portal de la red VPN SSL que se asocia a cada grupo de usuarios determina quién tiene
acceso en el modo Túnel. Se procederá a cambiar la configuración de la red VPN SSL para
usar el acceso completo del portal, con el cual se implementa el modo Túnel.

Para agregar el modo Túnel.

1. En la interface gráfica de Local-FortiGate, ingrese a VPN > SSL-VPN Settings (VPN >
Ajustes VPN-SSL)

2. En Authentication/Portal Mapping (Autenticación/Asignación de portal), seleccione All Other

Users/Groups (Todos los demás Usuarios/Grupos) y haga clic en Edit (Editar).

3. Seleccione Full-Access (Acceso Completo) y haga clic en OK (Aceptar).

4. Haga clic en Apply (Aplicar).
5. Haga clic en OK (Aceptar) para confirmar el uso del certificado integrado.

Configurando el enrutamiento para el modo Túnel.

Una vez que se implementa el modo Túnel, FortiClient instala una o más rutas para el
cliente de red VPN SSL. De esta forma, el tráfico destinado a las subredes internas se
enruta correctamente a través del Túnel.

Para configurar el enrutamiento en el modo Túnel.

1. En la interface gráfica de Local-FortiGate, ingrese a VPN > SSL-VPN Portal (VPN > Portal
VPN-SSL)

2. Seleccione Full-Access Portal (Acceso Completo del Portal) y haga clic en Edit (Editar).
3. Cambie Routing Address (Dirección de Enrutamiento) a LOCAL_SUBNET :

4. Haga clic en OK (Aceptar).

FortiGate I - Guía del Estudiante 8

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

Configurando FortiClient para una red VPN SSL.

La implementación del modo Túnel de una red VPN SSL se realiza con FortiClient. Para
probar la configuración del modo Túnel, se instalará FortiClient en la máquina virtual
Remote-Windows.

Para configurar FortiClient para la red VPN SSL.

1. Desde la máquina virtual Remote-Windows, iniciar FortiClient.

2. Haga clic en Configure VPN (Configurar la VPN).

3. Seleccione la pestaña SSL-VPLN y configure con los siguientes ajustes:

FIELD (Campo) VALUE (Valor)

Connection Name (Nombre de la Conexión) Local-FortiGate

Remote Gateway (Puerta de Enlace Remota) 10.200.1.1

Customize Port (Personalizar Puerto) Enabled and 10443 (Habilitado)

4. Haga clic en Apply (Aplicar).

5. Haga clic en Close (Cerrar).

Probando el modo Túnel.

Se realizará la conexión utilizando la cuenta student (Alumno) para probar el modo de Túnel.

Para probar el modo Túnel.

1. En la máquina virtual Remote-Windows, abra FortiClient e ingrese el nombre de
usuario student (Alumno) y la contraseña fortinet.

FortiGate I - Guía del Estudiante 9

NO REIMPRIMIR
© FORTINET LAB 6 - Red Privada Virtual con SSL

2. Haga clic en Connect (Conectar).

3. Haga clic en Yes (Si) para aceptar el certificado.
4. Espere unos segundos y abra FortiClient nuevamente. Se debe observar que el Túnel
está conectado.

5. Abra un navegador web e ingrese la siguiente URL :

http://10.0.1.10
Observe que ahora se está utilizando la URL del servidor web como si estuviera
conectado localmente. No se está utilizando el proxy HTTP inverso como en el caso
del modo Solo Web. El tráfico IP se encapsula directamente a través de HTTPS y es
enviado a través del Túnel.
6. Regrese al FortiClient y haga clic en Disconnect (Desconectar).

FortiGate I - Guía del Estudiante 10