Documentos de Académico
Documentos de Profesional
Documentos de Cultura
LAB VPN Ipsec
LAB VPN Ipsec
V Ciclo
Laboratorio
“VPN IPSEC”
2024
1. OBJETIVOS/ CAPACIDADES:
2. INTRODUCCIÓN TEÓRICA
Una VPN proporciona un medio por el que los equipos remotos se comunican de forma segura
a través de una WAN pública, como Internet.
Una conexión VPN puede vincular dos LAN (VPN de sitio a sitio) o un usuario de acceso
telefónico remoto y una LAN. El tráfico que fluye entre estos dos puntos pasa a través de
recursos compartidos tales como routers, conmutadores y otros equipos de red que forman la
WAN pública. Para proteger la comunicación VPN mientras se pasa a través de la WAN, los
dos participantes crean un túnel de seguridad IP (IPsec).
3. GUIA DE SEGURIDAD:
Lávate las manos hasta el antebrazo con agua y jabón por un mínimo de 20 segundos.
Al toser o estornudar, cúbrete la boca y nariz con un pañuelo desechable o con tu
antebrazo; nunca lo hagas con tus manos directamente.
No te toques los ojos, nariz o boca si no te has lavado las manos primero.
Solo si no cuentas con agua y jabón cerca, utiliza gel antibacterial. Toma en cuenta que
esto no debe reemplazar el lavado de manos.
Evita el contacto directo con personas que muestren síntomas como los del resfrío o gripe.
1
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
Es más, o ideal sería auditar las vulnerabilidades de su propio entorno doméstico antes de
conectar los dispositivos de trabajo. Hay revelaciones continuas sobre dispositivos
vulnerables de Internet de las cosas (IoT), y este es un excelente momento para que los
empleados tomen medidas para asegurarlos con contraseñas seguras y actualizando tanto
el firmware como el software a las últimas versiones disponibles.
4. EQUIPOS Y MATERIALES:
● PC Personal.
● Sistema operativo CentOS 7.X u 8
● Sistema operativo Windows 7 o superior
● Software VMware Worskstation 15 o superior.
● Material disponible desde Tecsup Virtual.
● Conexión a red.
5. PROCEDIMIENTO:
1. Vamos a contar con la siguiente topología para el desarrollo del presente laboratorio.
2. En este escenario vamos a unificar dos redes privadas (LAN) a través de un túnel IPSec, de
tal forma que exista conectividad entre ellas y se pueda compartir recursos. Para implementar
una VPN IPSec, de tipo “Site to Site”, existen dos métodos. El primero, usando el wizard que
permite que la implementación sea sencilla y muy rápida. El segundo, realizar la configuración
de forma customizada la cual te permite establecer los parámetros de la fase 1 y fase 2 de
IPSec.
2
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
3. El UTM debe tener configurado lo siguiente: IPs de sus interfaces (LAN, WAN), ruta estática
por defecto, servicio DNS para la interface LAN y un hostname; como se muestra a
continuación.
Nota: En el fortigate del site 2 debe realizarse lo mismo con sus respectivos valores.
Fortigate site 1
4. Debemos ir a VPN > IPsec Wizard. Definimos un nombre a nuestro túnel, el tipo de
configuración de NAT y definiremos el template a utilizar.
3
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
5. Luego, procedemos a definir el peer remoto, es decir la IP Pública del UTM del site 2.
Además, configuraremos una contraseña PSK (“tecsup2022”).
4
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
7. Cuando se usa el Wizard para la configuración de una VPN “site to site”; se crearán
automáticamente las políticas a nivel de firewall y la ruta estática; como se muestra a
continuación.
Fortigate site 2
8. Debemos ir a VPN > IPsec Wizard. Definiremos un nombre a nuestro túnel, el tipo de
configuración de NAT y definiremos el template a utilizar. Acá pondremos un nombre
diferente al túnel IPsec.
5
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
9. Luego, procedemos a definir el peer remoto, es decir la IP Pública del UTM del site 1.
Además, configuraremos la misma contraseña PSK (“Tecsup2021”) que se configuró en el site
1.
10. Ahora definiremos la interface de la red LAN, la sub-red local y la sub-red remota.
6
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
11. Podrá constatar que también se creó automáticamente las reglas del firewall y la ruta estática,
como se muestra a continuación.
12. Debemos ir a Dashboard > Network > IPsec Podremos observar que el túnel está caído.
Para levantarlo debemos hacer clic derecho y seleccionar la opción Bring IP > Phase 2
Selector: To_Site1.
7
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
13. Ahora que el túnel IPsec está activo realizaremos las pruebas de conectividad. Si nosotros
enviamos un paquete ICMP desde el fortigate-site2 a la IP privada de la interface LAN del
fortigate-site1; veremos que no habrá conectividad (a pesar que el túnel está activo)
¿Por qué pasa eso? porque el paquete ICMP que se genera lleva en el campo “IP Origen” la IP
de la interface WAN del fortigate-site2 y esa sub-red no está publicada en IPsec. Por este
motivo, no habrá conectividad
14. Para realizar una prueba real, debemos modificar el campo “IP ORIGEN” del paquete ICMP,
que se genera, por la IP de la interface LAN del fortigate-site2 (esa IP pertenece a una sub-
red que SÍ está publicada a nivel de IPsec). Al hacer ese cambio veremos que sí hay
conectividad gracias al túnel IPsec.
Parte Nro. 2
Actividades:
Defina un escenario y proceda a crear una red VPN site to site según las indicaciones del docente.
6. DATOS A REGISTRAR
8
PROGRAMA DE FORMACIÓN REGULAR
TECSUP Laboratorio de VPN IPSEC
7. OBSERVACIONES Y CONCLUSIONES
1.
2.
3.
8. BIBLIOGRAFÍA
https://docs.fortinet.com/document/fortigate/6.4.6/administration-guide/954635/getting-
started
9. ANEXOS
NO APLICA
9
PROGRAMA DE FORMACIÓN REGULAR