VPN Site to Site FortiGate 100D-60C
-
Upload
comunidad-ragazome -
Category
Technology
-
view
102 -
download
2
Transcript of VPN Site to Site FortiGate 100D-60C
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Conectando por VPN Site to Site un FortiGate 100D con un
FortiGate 60C
Vamos a realizar el procedimiento para conectar un FortiGate 100D con un FortiGate 60C por
medio de VPN Site to Site IPSec Tunnels - Custom. El objetivo es tener dos sedes conectadas y
compartiendo recursos tecnológicos mediante esta conexión, las sedes obviamente estarán en
ubicaciones geográficas diferentes.
Los dispositivos que utilizamos en este procedimiento son:
FortiGate 100D - English
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
FortiGate 60C - Español
**Comenzamos con el FortiGate 100D**
1. Vamos a la opción “VPN”, dentro de esta vamos a “IPsec Tunnels” para crear la conexión
VPN hacia el FortiGate 60C.
2. Clic en “Create New” para comenzar a crear la conexión VPN.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
3. Seleccionamos la opción “Custom” en el apartado “Template Type”. Con esto tendremos la
opción de personalizar la conexión.
NOTA: Si tuviéramos dos FortiGate iguales, es decir, dos 100D o dos 60C, etc. Podriamos
conectar de una manera mucho más fácil y rápida, esta sería por la opción que viene
seleccionada por defecto en color verde “Site to Site”, pero ese no es nuestro caso.
Luego de seleccionar “Custom” quedara de la siguiente manera:
Ahora debemos darle un nombre a nuestra conexión, luego clic en “Next >”
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
4. Vamos a configurar la conexión de la siguiente manera:
En 1 va la IP pública del dispositivo al que vamos a conectar por medio de esta VPN, en este
caso sería el 60C.
En 3 sería la clave que tendrán los dos Forti para conectarse, esta debe coincidir en las
conexiones VPN en ambos dispositivos. Esta clave la definimos nosotros, se recomienda
que sea una clave de alta complejidad y por consiguiente segura.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
“Local Address” sería la red local donde está el FGT-100D y la “Remote Address” donde está
el FTG-60C. Recordemos que comenzamos con el FTG-100D.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Finalizamos con OK
Deberia quedar creada de la siguiente manera:
5. Ahora debemos crear la ruta estatica de la red a la que vamos a conectar, es decir, a la red
LAN del FGT-60C. Para esto vamos a la opción de “Network” y luego a “Static Routes”.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Vamos a crear una nueva ruta estática, Clic en “Create New” y pasaremos a crearla de la
siguiente manera. Primero debemos seleccionar en “Device” por donde se conectara la
ruta estática, esto sería por medio de la conexión VPN IPsec Tunnels que creamos en el
punto anterior. Luego daremos un nombre a esta ruta y finalizamos con “OK”.
La ruta se vería así:
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
6. Para terminar en este dispositivo, debemos crear las reglas en el firewall que permitirán el
trafico bidireccional de la conexión VPN.
Vamos a “Policy & Objects” y luego a “IPv4 Policy”.
Si tenemos políticas creadas previamente tenemos que definir en qué posición vamos a
crear las dos nuevas políticas, recomiendo hacerlo debajo de las políticas de
navegación/filtros que tengas ya configuradas, para ello nos ubicaremos sobre la última
política y con clic derecho vamos a crear un nueva política debajo de esta.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Aparecerá una nueva regla en la ubicación que seleccionamos, ahora damos doble clic para
editarla. Por defecto estará desactivada.
En “Name” vamos a darle un nombre, en mi caso la nombre VPN-GUAY-CTG, donde GUAY
es la sede donde está el FGT-100D y CTG donde está el FGT-60C, esta regla debe ser
primero habilitando el tráfico de esta LAN hacia la LAN de CTG FGT-60C. La segunda seria
en sentido contrario. Entonces:
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Ahora vamos a crear una segunda política/regla de firewall que permita el tráfico en
sentido contrario, vamos a crearla debajo de la que acabamos de configurar.
Recordemos, esta política es igual a la anterior, pero en direcciones inversas, incluyendo el
nombre:
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Quedan de la siguiente manera:
Hemos terminado con la configuración del FortiGate 100D, ahora vamos para el FortiGate
60C en la otra sede.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Configurando el FortiGate 60C
1. Este está en español, vamos a comenzar creando la conexión VPN, vamos a “VPN” y
“Tuneles”. Damos clic en “Create New”.
Ingresamos el nombre de la conexión, Seleccionamos la última opción “Túnel VPN
personalizado (No Template). Seguimos con el botón “Asistente_Siguiente”.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Comenzamos configurar la conexión de la siguiente manera:
En 1 sería la IP pública del FGT-100D y en la Llave precompatida sería la misma que
definimos en la conexión VPN en el FGT-100D, deben coincidir.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Terminamos con el botón OK. Se debería ver de la siguiente manera:
2. Ahora vamos a crear la ruta estatica apuntando a la red LAN del FTG-100D por intermedio
de esta conexión VPN que acabamos de crear.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Y quedaría así:
3. Terminaremos creando las dos políticas/reglas de firewall para permitir el trafico
bidireccional entres los FGT. Tomando como primera regla el trafico LAN del FGT-60C hacia
el FGT-100D y luego, al contrario, tal cual lo hicimos en el anterior dispositivo.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Política/regla 1: De LAN FGT-60C hacia FGT-100D.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Política/regla 2: De LAN FGT-100D hacia FGT-60C.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
Y quedaría de la siguiente manera:
4. Ahora debemos verificar que las conexiones VPN estén conectadas y figuren activas en los
dispositivos.
www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje
5. También deberíamos al menos realiza pruebas de Ping entre sedes en ambas direcciones a
diferentes servidores, servicios o equipos de la red LAN de lado y lado.
Prueba PING de LAN FGT-100D hacia LAN FGT-60C
Prueba PING de LAN FGT-60C hacia LAN FGT-100D