FortiGate - Configuración de VPN IPSec Redundantes FortiGate - How to Setup Redundant IPSec VPN FortiOS V.4.0 MR2 Modelo Todos los modelos que soportan v3.00 y v4.00 Condición Tener al menos 2 FGs con 2 Enlaces de Internet Como ya es sabido, todos los equipos FortiGates nos permiten hacer VPN en IPSec, de tal forma que podemos interconectar redes locales a traves del Internet usando este comando. Dentro de los esquemas de interconexión se soportan los siguiente: Site-to-Site, Site-to-Client y nomenclaturas como: Hub & Spoke (todas contra una) y Full-meshed (todas contra todas). Además, los FortiGates nos permiten crear VPNs en una modalidad de Tunnel y tambien en Modo Interface La Tecnología de Redes Privadas Virtuales ( VPN ) nos permite interconectar dispositivos de red, de forma segura, utilizando como medio el Acceso al Internet, pero garantizando la integridad y la seguridad de los datos. Esta guía es solo una; de varias que nos hemos propuesto realizar para dar los "paso a paso" de cómo implementar VPNs a traveś de IPSec como también por SSL. Para este caso explicaremos cómo hacer una VPN de tipo Site-to-Site redundantes, utilizando dos FortiGates pero con modalidad "Interface mode". *** Al final de esta Guía aparecen los enlaces para ver las otras implementaciones posibles. *** Cuando la opción de VPN en "Modo Interface" es habilitada, el FortiGate crea una Interface virtual en la inteface Física que hayamos seleccionado (Local Interface) a través de la cual, podremos hace ruteo estático, politícas basadas en ruteo y/o hasta
pasar OSPF sobre dichas VPNs. El lab, que haremos para este caso tiene un cierto grado de dificultad (ver figura 1) ya que intentaremos crear 2 VPNs las cuales estarán en activas y haciendo "Load Sharing" pero a la vez, tendremos otras 2 VPN entre estos mismo sitios, las cuales serán redundates de las principales, por lo tanto es necesario realizar los siguientes pasos: FG-200A: - Configuración las Interfaces donde crearemos las VPNs - Configuración de la fase 1 para cada uno de los cuatro posibles caminos - Configuración de la fase 2 para cada uno de los cuatro posibles caminos - Configuración de Rutas para las cuatro interfaces virtuales de IPSec - Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces IPSec FG-100A - Configuración las Interfaces donde crearemos las VPNs - Configuración de la fase 1 para cada uno de los cuatro posibles caminos - Configuración de la fase 2 para cada uno de los cuatro posibles caminos - Configuración de Rutas para las cuatro interfaces virtuales de IPSec - Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces IPSec Figura 1:
PROCEDIMIENTO Configurando el FortiGate SitioA Paso 1: Configuración las Interfaces donde crearemos las VPNs Dentro de System >> Network >> Interface configuraremos las Intefaces "Internal" y "WAN1" (ver figura 2), que seran las que estarán involucradas en las VPNs. Para la Internal: Figura 2.
Para la WAN1: Figura 3.
Para la WAN2: Figura 4.
Paso 2: Configuración de la fase 1 para cada uno de los cuatro posibles caminos Las configuraciones de Fase1 las haremos desde: VPN >> IPSec >> Auto Key (IKE) >> Create Phase 1 Para una explicación de cada una de las funciones de VPN, en fase I y II, pueden entrar a esta guía en donde se explican cada una de estas Primera Fase 1 para la WAN1: Creando la VPN entre Ambos FortiGates para la WAN1 Figura 5.
Segunda Fase 1, para la WAN1: Creando la VPN de redundancia entre la WAN1 del "SitioA" hacia la WAN2 del FortiGate de "SitioB" Figura 6.
Creando fase 1, para WAN2: Creando la VPN entre Ambos FortiGates para la WAN2 Figura 7.
Creando fase 1, para la WAN2: Creando la VPN de redundancia entre la WAN2 del "SitioA" hacia la WAN1 del FortiGate de "SitioB" Figura 8.
Paso 3: Configuración de la fase 2 para cada uno de los cuatro posibles caminos Configurando la fase 2, para cada uno de los fase 1 que hemos creado, lo cual haremos desde: VPN >> IPSec >> Auto Key (IKE) >> Create Phase 2 En las fases II, será donde seleccionaremos cada una de las Fase I, que hayamos creado Fase II: para fase 1 "SitioA-SitioB" Figura 9.
Fase II: Para Fase 1 "SitioA-SitioB-2" Figura 10.
Fase II: Para Fase 1 "SitioA-SitioB-3" Figura 11.
Fase II: Para Fase 1 "SitioA-SitioB-4" Figura 12.
Paso 4: Configuración de Rutas para las cuatro interfaces virtuales de IPSec La configuración de las rutas estáticas, las hacemos desde: Router >> Static >> Static Route Primera ruta estática por la Interface virtual IPSec "SitioA-SitioB" con distancia 10 Figura 13. Segunda ruta estática por la Interface virtual IPSec "SitioA-SitioB-2" con distancia 20, la cual será solo para el caso de requerirse redundancia Figura 14. Tercera ruta estática por la Interface virtual IPSec "SitioA-SitioB-3" con distancia 10 Figura 15.
Cuarta ruta estática por la Interface virtual IPSec "SitioA-SitioB-4" con distancia 20 Figura 16. Paso 5: Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces En este punto, es necesario, declarar los "objetos" de Direcciones IP tanto para la Red "LAN Local", como para la Red "LAN
Remota". Esto lo hacemos dentro de: Firewall >> Address >> Address > Create New Ver figura 17 y 18. Paso que debemos repetir para crear ambos objetos de redes. Figura 17. Figura 18. En este punto, creamos todas las políticas necesarias, entre las Interfaces virtuales IPSec y las Interfaces locales para/desde las cuales queremos permitir tráfico de las VPNs. Las polítas de Firewall las crearemos navegando en: Firewall >> Policy >> Policy >> Create New
Politica entre las interfaces Internal y SitioA-SitioB Figura 19.
Politica entre las interfaces SitioA-SitioB e Internal Figura 20
Politica entre las interfaces Internal y SitioA-SitioB-2 Figura 21.
Politica entre las interfaces SitioA-SitioB-2 e Internal Figura 22.
Politica entre las interfaces Internal y SitioA-SitioB-3 Figura 23.
Politica entre las interfaces SitioA-SitioB-3 e Internal Figura 24.
Politica entre las interfaces Internal y SitioA-SitioB-4 Figura 25.
Politica entre las interfaces SitioA-SitioB-4 e Internal Figura 26.
Configurando el FortiGate SitioB Paso 6: Configuración las Interfaces donde crearemos las VPNs Ver procedimiento Paso 1 Para la Internal Figura 27.
Para la WAN1 Figura 28.
Para la WAN2 Figura 29.
Paso 7: Configuración de la fase 1 para cada uno de los cuatro posibles caminos Primera fase 1, para la WAN1 Figura 30
Segunda fase 1, para la WAN1 Figura 31
Tercera fase 1, para la WAN2 Figura 32
Cuarta fase 1, para la WAN2 Figura 33 Paso 8: Configuración de la fase 2 para cada uno de los cuatro posibles caminos Ahora nos toca asociar cada una de las Fases I creadas, a las Fases II, para lo cual vamos a: VPN >> IPSec >> Auto Key (IKE) >> Create New Creando primera fase 2, para WAN1 Figura 34.
Creando segunda fase 2, para WAN1 Figura 35.
Creando tercera fase 2, para WAN2 Figura 36.
Creando cuarta fase 2, para WAN2 Figura 37.
Paso 9: Configuración de Rutas para las cuatro interfaces virtuales de IPSec Creamos ahora las rutas para el envío de trafico por las interfaces Virtuales de IPsec desde: Router >> Static >> Create New Primera ruta estática por la Interface virtual IPSec "SitioB-SitioA" con distancia 10 Figura 38. Segunda ruta estática por la Interface virtual IPSec "SitioB-SitioA-2" con distancia 10 Figura 39. Tercera ruta estática por la Interface virtual IPSec "SitioB-SitioA-3" con distancia 10 Figura 40.
Cuarta ruta estática por la Interface virtual IPSec "SitioB-SitioA-4" con distancia 10 Figura 41.
Paso 10: Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces Configuramos ahora los objetos de Direcciones IP para la Red Local y la Red Remota: Firewall >> Address >> Address > Create New Creando Objeto Red Local: Figura 42 Creando Objeto Red Remota: Figura 43.
Seguidamente Creamos las Políticas de Firewall entre todas las Interfaces involucradas. Firewall >> Policy >> Policy >> Create New Politica entre las interfaces Internal y SitioB-SitioA Figura 44.
Politica entre las interfaces SitioB-SitioA e Internal Figura 45
Politica entre las interfaces Internal y SitioB-SitioA-2 Figura 46
Politica entre las interfaces SitioB-SitioA-2 e Internal Figura 47
Politica entre las interfaces Internal y SitioB-SitioA-3 Figura 48
Politica entre las interfaces SitioB-SitioA-3 e Internal Figura 49
Politica entre las interfaces Internal y SitioB-SitioA-4 Figura 50
Politica entre las interfaces SitioB-SitioA-4 e Internal Figura 51.
Monitoreo y Diagnóstico A través de la GUI, visualizar algunos status de los tuneles, como se muestra en la figura 16. Aunque se puede tener detalles mas completos a en la sección de Log&Report >> Log Access >> Event Figura 16: Por la CLI podremos tener información mucho mas específica, a traves de los siguientes comandos: diagnose debug enable diagnose debug application ike 1 Los cuales solo deben estar habilitados mientras estamos haciendo diagnostico, luego se debe de desabilitar el debug Haciendo ping desde un Equipo de la LAN Remota hacia la Red Local del Dialup Server: ping 172.16.2.1
PING 172.16.2.1 (172.16.2.1): 56 data bytes 64 bytes from 172.16.2.1: icmp_seq=0 ttl=255 time=1.2 ms 64 bytes from 172.16.2.1: icmp_seq=1 ttl=255 time=0.5 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=255 time=0.5 ms 64 bytes from 172.16.2.1: icmp_seq=4 ttl=255 time=0.4 ms Realacionados : Configuración de VPN Dialup User (FortiClient) Configuración de VPN Dialup Client - Policy-based Configuración de VPN IPSec en Interface Mode Configuración de VPN IPSEC de Fortigate a Fortigate modo Túnel Configuración de VPN con Dynamic DNS Configuración de VPN FortiGate Dialup Client Creación de una VPN SSL en Fortigate versión 4.0 Configuración de VPN IPSec con FortiCliente - Policy Server Referencias: http://kb.fortinet.com http://docs.fortinet.com/ You can view this article online at: http://www.soportejm.com.sv/kb/index.php/article/ipsecdualwan