FortiGate - Configuración de VPN IPSec Redundantes

Documentos relacionados
Fortigate - VPN IPSEC

Fortigate - Conexión IPSEC entre dos Fortigate

Documentación Técnica FortiGate: Conexión VPN. Cliente VPNSSL. Tunnel Mode VERSIÓN 1.0 DIRIGIDO A DIPUTACIÓN PROVINCIAL DE TERUEL USUARIOS

Fortigate - VPN SSL

VPN sitio a sitio. Vicente Sánchez Patón I.E.S Gregorio Prieto. Tema 3 SAD

MUM Bolivia 2014 Santa Cruz de la Sierra. BGP para ISPs con MikroTik RouterOS

Nota de aplicación Creando VPNs IPsec con un MRD-310

Juniper Networks Catálogo de Cursos. Tel

Configuracio n de PFSense 2.0 con OpenVPN Road Warrior.

Configuración de una VLAN

Sistemas Operativos. Sesión 2: Enrutamiento estático

Manual 123, LP-1521 Enrutador Banda Ancha. Configuración de VPN entre dos LP (Sólo aplica para configuraciones en modo WISP con IP fija)

Balanceo de carga y redundancia entre dos ISP con PFSense y MultiWAN

Cómo usar VNC y RDP a través de SSL VPN

Práctica de laboratorio 5.5.2: Examen de una ruta

IPSec/GRE con el NAT en el ejemplo de configuración del router IOS

Manual de Configuración de Router Cisco 871W

SEGURIDAD INFORMÁTICA CONFIGURACIÓN DEL FIREWALL DEL DISPOSITIVO CISCO ASA 5510 (Examen Final) José Omar Moreno Reyes Juan Carlos Moreno Omaña

Adicionalmente puede asignar velocidad de acceso a cada dispositivo que ingresa hacia internet brindando auditoria y funciones de análisis de red.

Ejemplo de Configuración de GRE sobre IPSec con EIGRP para Rutear a través de un Hub y Múltiples Sitios Remotos

Configuración básica de Routers

RUT500 GUIA DE CONFIGURACION RAPIDA

Computadores y Comunicaciones. Práctica de Laboratorio: Creación de una red de área local (LAN)

Cómo construir conexión LAN a LAN VPN entre router Vigor y CiscoASA

UNIVERSIDAD NACIONAL DE SAN ANTONIO ABAD DEL CUSCO REDES Y TELEPROCESO I GUIA DE LABORATORIO PROGRAMACION BASICA DE SWITCHES

Instalación de VPN con router zyxel de la serie 600 (642/643/645) y Zywall 10

access-list deny permit log

INSTALACIÓN DE MICROSOFT ISA SERVER 2006 Y CONFIGURACIÓN DE ACCESO VPN POR MEDIO DE POINT-TO-POINT TUNNELING PROTOCOL

Implantación de técnicas de acceso remoto. Seguridad perimetral

Tema: Redes Privadas Virtuales

Implementación, administración y mantenimiento de infraestructuras de redes en Microsoft Windows Server 2008: Servicios de red

Sugerencias. Configuración de VPN con PPTP. Diagrama de red. Productos destacados. Características clave. Para Pequeñas y Medianas Empresas

Figura 1 VPN con SSL con un router Cisco Small Business RV220 Usuarios remotos Oficina principal Router WAN

Tema: Configuración de túneles IPSec

Mikrotik User Meeting - Colombia LOGO

Cursos de Certificación MIKROTIK

Configuración acceso remoto por VPN (Mayo 2011)

Av. Almirante Gago Coutinho, Lisboa PORTUGAL Tel

NINEBELLS NETWORKS/H3C TECHNOLOGIES H3C ER3108GW GIGA SMB WIFI-ROUTER

Práctica de laboratorio 7.5.3: Resolución de problemas de la configuración inalámbrica

EXAMEN FINAL CONFIGURACIÓN DEL FIREWALL CSICO ASA 5510

Sistemas Operativos. Sesión 3: Enrutamiento estático

DISEÑO E IMPLEMENTACION DE UN SISTEMA DE SEGURIDAD PERIMETRAL PARA UNA EMPRESA USANDO LA HERRAMIENTA PFSENSE. Presentador por:

AGENDA: Tema o subtema Objetivo Sesión Apoyo didáctico. Lunes - Presentación 8:00 8:20. y los participantes. 8:20 8:40 conectarse al laboratorio

Mis primeros pasos en MikroTik

MIKROTIK ROUTER. Guía Nº2 Configuraciones Básicas

Manual GoldStation b/g 54Mbps 300mW

Acceso remoto al router con IP dinámica

Laboratorio Redes 1. ITESM Configuración de Router

Rawel E. Luciano B Sistema Operativo III. 4- Compartir datos en una red Linux usando NFS. José Doñe

ADMINISTRACIÓN DE SERVIDORES BAJO WINDOWS 2012 MS20410: Instalando y Configurando Windows Server 2012

Laboratorio práctico Configuración y prueba del cliente VPN

Estableciendo Conectividad con el AMM para la Entrega de Medicio n Comercial

REDES PRIVADAS VIRTUALES VPN

Práctica 9: Configuración de NAT y DHCP

INSTITUTO POLITÉCNICO NACIONAL ESCUELA SUPERIOR DE INGENIERÍA MECÁNICA Y ELÉCTRICA UNIDAD ADOLFO LÓPEZ MATEOS - ZACATENCO

Capitulo III Implementación.

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

VPN TUNEL SITIO A SITIO EN GNS3. Trabajo realizado por: Brenda Marcela Tovar. Natalia Hernández. Yadfary Montoya. Sonia Deyanira Caratar G.

Capitulo 3: Introducción a los Protocolos de Enrutamiento Dinámico

ESCUELA POLITECNICA NACIONAL

LP-1521 Enrutador Banda Ancha Manual 123 Configuración de VPN entre 2 LP-1521 con IP Dinámica.

Curso: 10983A Upgrading Your Skills To Windows Server 2016

REDES CISCO Guía de estudio para la certificación CCNA Security. Ernesto Ariganello

Terminales certificados con SieteVOZ Terminales VoIP Escene

INTRODUCCION Y ENUNCIADO

TEMA 3: IMPLANTACIÓN DE TÉCNICAS DE ACCESO REMOTO. Victor Martin

Guía Rápida de Configuración Modem Zyxel P660HW T1 V3 Telefónica del Sur

D-Link Latinoamérica S.A. Contacto: Sitio Web:

Contenido. Introducción. prerrequisitos. Requisitos. Componentes Utilizados

Configuración de ADSL IP Dinámica, con Router D-Link MR DI 704P, para conectividad sobre Internet, con DVR`s basados en Windows MR.

BHS-RTA Guía de configuraciones básicas mediante interfaz web avanzada

Resolución de problemas de OSPF (Abrir la ruta más corta en primer lugar)

TEHUACÁN INRE 409 INSTALACIÓN DE REDES DE DATOS. Ejercicios de Redes Básicas para Cisco Packet Tracer

Seleccionamos aceptar conexiones entrantes

PRÁCTICA 1: INTRODUCCIÓN AL ROUTER

NUEVO TEMARIO INTEGRAL MIKROTIK RouterOs

Instalar y Configurar Network Load Balancing (NLB) en Windows Server 2008 R2

REDES DE ÁREA LOCAL (LAN)

Administración de Usuario respalda dos modos: Basada en Reglas y Basada en Usuario.

TECNOLOGÍA DE REDES. Temario 21/03/2008. Unidad 2. LAS WAN Y LOS ROUTERS (Primera Parte)

SEGURIDAD EN REDES IP

PIX/ASA: Ejemplo transparente de la configuración de escudo de protección

Seguridad y alta disponibilidad

Exploración de la infraestructura de red empresarial

ANÁLISIS COMPARATIVO E TECNOLOGÍA MPLS

Práctica de laboratorio: configuración de un conjunto de NAT con sobrecarga y PAT

Tema: Configuración inicial Firewall PIX

Práctica guiada WorkBench

Router Teldat. Facilidad VRF-Lite

NIVEL 1. INFRAESTRUCTURA DE REDES

CONTENIDO. 1. RED LAN INTERNA. Sala de Control

Ingeniería en Informática (plan 2001)

AMBAR TELECOMUNICACIONES, S.L.

Actividad de PT 5.2.8: Configuración de las ACL estándar Diagrama de topología

MikroTik Certified Network Associate

OfficeConnect Remote 812 ADSL Router Aspecto externo (Frontal)

nos interesa, analizaremos la solución de la empresa

Transcripción:

FortiGate - Configuración de VPN IPSec Redundantes FortiGate - How to Setup Redundant IPSec VPN FortiOS V.4.0 MR2 Modelo Todos los modelos que soportan v3.00 y v4.00 Condición Tener al menos 2 FGs con 2 Enlaces de Internet Como ya es sabido, todos los equipos FortiGates nos permiten hacer VPN en IPSec, de tal forma que podemos interconectar redes locales a traves del Internet usando este comando. Dentro de los esquemas de interconexión se soportan los siguiente: Site-to-Site, Site-to-Client y nomenclaturas como: Hub & Spoke (todas contra una) y Full-meshed (todas contra todas). Además, los FortiGates nos permiten crear VPNs en una modalidad de Tunnel y tambien en Modo Interface La Tecnología de Redes Privadas Virtuales ( VPN ) nos permite interconectar dispositivos de red, de forma segura, utilizando como medio el Acceso al Internet, pero garantizando la integridad y la seguridad de los datos. Esta guía es solo una; de varias que nos hemos propuesto realizar para dar los "paso a paso" de cómo implementar VPNs a traveś de IPSec como también por SSL. Para este caso explicaremos cómo hacer una VPN de tipo Site-to-Site redundantes, utilizando dos FortiGates pero con modalidad "Interface mode". *** Al final de esta Guía aparecen los enlaces para ver las otras implementaciones posibles. *** Cuando la opción de VPN en "Modo Interface" es habilitada, el FortiGate crea una Interface virtual en la inteface Física que hayamos seleccionado (Local Interface) a través de la cual, podremos hace ruteo estático, politícas basadas en ruteo y/o hasta

pasar OSPF sobre dichas VPNs. El lab, que haremos para este caso tiene un cierto grado de dificultad (ver figura 1) ya que intentaremos crear 2 VPNs las cuales estarán en activas y haciendo "Load Sharing" pero a la vez, tendremos otras 2 VPN entre estos mismo sitios, las cuales serán redundates de las principales, por lo tanto es necesario realizar los siguientes pasos: FG-200A: - Configuración las Interfaces donde crearemos las VPNs - Configuración de la fase 1 para cada uno de los cuatro posibles caminos - Configuración de la fase 2 para cada uno de los cuatro posibles caminos - Configuración de Rutas para las cuatro interfaces virtuales de IPSec - Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces IPSec FG-100A - Configuración las Interfaces donde crearemos las VPNs - Configuración de la fase 1 para cada uno de los cuatro posibles caminos - Configuración de la fase 2 para cada uno de los cuatro posibles caminos - Configuración de Rutas para las cuatro interfaces virtuales de IPSec - Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces IPSec Figura 1:

PROCEDIMIENTO Configurando el FortiGate SitioA Paso 1: Configuración las Interfaces donde crearemos las VPNs Dentro de System >> Network >> Interface configuraremos las Intefaces "Internal" y "WAN1" (ver figura 2), que seran las que estarán involucradas en las VPNs. Para la Internal: Figura 2.

Para la WAN1: Figura 3.

Para la WAN2: Figura 4.

Paso 2: Configuración de la fase 1 para cada uno de los cuatro posibles caminos Las configuraciones de Fase1 las haremos desde: VPN >> IPSec >> Auto Key (IKE) >> Create Phase 1 Para una explicación de cada una de las funciones de VPN, en fase I y II, pueden entrar a esta guía en donde se explican cada una de estas Primera Fase 1 para la WAN1: Creando la VPN entre Ambos FortiGates para la WAN1 Figura 5.

Segunda Fase 1, para la WAN1: Creando la VPN de redundancia entre la WAN1 del "SitioA" hacia la WAN2 del FortiGate de "SitioB" Figura 6.

Creando fase 1, para WAN2: Creando la VPN entre Ambos FortiGates para la WAN2 Figura 7.

Creando fase 1, para la WAN2: Creando la VPN de redundancia entre la WAN2 del "SitioA" hacia la WAN1 del FortiGate de "SitioB" Figura 8.

Paso 3: Configuración de la fase 2 para cada uno de los cuatro posibles caminos Configurando la fase 2, para cada uno de los fase 1 que hemos creado, lo cual haremos desde: VPN >> IPSec >> Auto Key (IKE) >> Create Phase 2 En las fases II, será donde seleccionaremos cada una de las Fase I, que hayamos creado Fase II: para fase 1 "SitioA-SitioB" Figura 9.

Fase II: Para Fase 1 "SitioA-SitioB-2" Figura 10.

Fase II: Para Fase 1 "SitioA-SitioB-3" Figura 11.

Fase II: Para Fase 1 "SitioA-SitioB-4" Figura 12.

Paso 4: Configuración de Rutas para las cuatro interfaces virtuales de IPSec La configuración de las rutas estáticas, las hacemos desde: Router >> Static >> Static Route Primera ruta estática por la Interface virtual IPSec "SitioA-SitioB" con distancia 10 Figura 13. Segunda ruta estática por la Interface virtual IPSec "SitioA-SitioB-2" con distancia 20, la cual será solo para el caso de requerirse redundancia Figura 14. Tercera ruta estática por la Interface virtual IPSec "SitioA-SitioB-3" con distancia 10 Figura 15.

Cuarta ruta estática por la Interface virtual IPSec "SitioA-SitioB-4" con distancia 20 Figura 16. Paso 5: Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces En este punto, es necesario, declarar los "objetos" de Direcciones IP tanto para la Red "LAN Local", como para la Red "LAN

Remota". Esto lo hacemos dentro de: Firewall >> Address >> Address > Create New Ver figura 17 y 18. Paso que debemos repetir para crear ambos objetos de redes. Figura 17. Figura 18. En este punto, creamos todas las políticas necesarias, entre las Interfaces virtuales IPSec y las Interfaces locales para/desde las cuales queremos permitir tráfico de las VPNs. Las polítas de Firewall las crearemos navegando en: Firewall >> Policy >> Policy >> Create New

Politica entre las interfaces Internal y SitioA-SitioB Figura 19.

Politica entre las interfaces SitioA-SitioB e Internal Figura 20

Politica entre las interfaces Internal y SitioA-SitioB-2 Figura 21.

Politica entre las interfaces SitioA-SitioB-2 e Internal Figura 22.

Politica entre las interfaces Internal y SitioA-SitioB-3 Figura 23.

Politica entre las interfaces SitioA-SitioB-3 e Internal Figura 24.

Politica entre las interfaces Internal y SitioA-SitioB-4 Figura 25.

Politica entre las interfaces SitioA-SitioB-4 e Internal Figura 26.

Configurando el FortiGate SitioB Paso 6: Configuración las Interfaces donde crearemos las VPNs Ver procedimiento Paso 1 Para la Internal Figura 27.

Para la WAN1 Figura 28.

Para la WAN2 Figura 29.

Paso 7: Configuración de la fase 1 para cada uno de los cuatro posibles caminos Primera fase 1, para la WAN1 Figura 30

Segunda fase 1, para la WAN1 Figura 31

Tercera fase 1, para la WAN2 Figura 32

Cuarta fase 1, para la WAN2 Figura 33 Paso 8: Configuración de la fase 2 para cada uno de los cuatro posibles caminos Ahora nos toca asociar cada una de las Fases I creadas, a las Fases II, para lo cual vamos a: VPN >> IPSec >> Auto Key (IKE) >> Create New Creando primera fase 2, para WAN1 Figura 34.

Creando segunda fase 2, para WAN1 Figura 35.

Creando tercera fase 2, para WAN2 Figura 36.

Creando cuarta fase 2, para WAN2 Figura 37.

Paso 9: Configuración de Rutas para las cuatro interfaces virtuales de IPSec Creamos ahora las rutas para el envío de trafico por las interfaces Virtuales de IPsec desde: Router >> Static >> Create New Primera ruta estática por la Interface virtual IPSec "SitioB-SitioA" con distancia 10 Figura 38. Segunda ruta estática por la Interface virtual IPSec "SitioB-SitioA-2" con distancia 10 Figura 39. Tercera ruta estática por la Interface virtual IPSec "SitioB-SitioA-3" con distancia 10 Figura 40.

Cuarta ruta estática por la Interface virtual IPSec "SitioB-SitioA-4" con distancia 10 Figura 41.

Paso 10: Configuración de las Políticas necesarias para tanto de tráfico entrante como saliente para todas las Interfaces Configuramos ahora los objetos de Direcciones IP para la Red Local y la Red Remota: Firewall >> Address >> Address > Create New Creando Objeto Red Local: Figura 42 Creando Objeto Red Remota: Figura 43.

Seguidamente Creamos las Políticas de Firewall entre todas las Interfaces involucradas. Firewall >> Policy >> Policy >> Create New Politica entre las interfaces Internal y SitioB-SitioA Figura 44.

Politica entre las interfaces SitioB-SitioA e Internal Figura 45

Politica entre las interfaces Internal y SitioB-SitioA-2 Figura 46

Politica entre las interfaces SitioB-SitioA-2 e Internal Figura 47

Politica entre las interfaces Internal y SitioB-SitioA-3 Figura 48

Politica entre las interfaces SitioB-SitioA-3 e Internal Figura 49

Politica entre las interfaces Internal y SitioB-SitioA-4 Figura 50

Politica entre las interfaces SitioB-SitioA-4 e Internal Figura 51.

Monitoreo y Diagnóstico A través de la GUI, visualizar algunos status de los tuneles, como se muestra en la figura 16. Aunque se puede tener detalles mas completos a en la sección de Log&Report >> Log Access >> Event Figura 16: Por la CLI podremos tener información mucho mas específica, a traves de los siguientes comandos: diagnose debug enable diagnose debug application ike 1 Los cuales solo deben estar habilitados mientras estamos haciendo diagnostico, luego se debe de desabilitar el debug Haciendo ping desde un Equipo de la LAN Remota hacia la Red Local del Dialup Server: ping 172.16.2.1

PING 172.16.2.1 (172.16.2.1): 56 data bytes 64 bytes from 172.16.2.1: icmp_seq=0 ttl=255 time=1.2 ms 64 bytes from 172.16.2.1: icmp_seq=1 ttl=255 time=0.5 ms 64 bytes from 172.16.2.1: icmp_seq=2 ttl=255 time=0.4 ms 64 bytes from 172.16.2.1: icmp_seq=3 ttl=255 time=0.5 ms 64 bytes from 172.16.2.1: icmp_seq=4 ttl=255 time=0.4 ms Realacionados : Configuración de VPN Dialup User (FortiClient) Configuración de VPN Dialup Client - Policy-based Configuración de VPN IPSec en Interface Mode Configuración de VPN IPSEC de Fortigate a Fortigate modo Túnel Configuración de VPN con Dynamic DNS Configuración de VPN FortiGate Dialup Client Creación de una VPN SSL en Fortigate versión 4.0 Configuración de VPN IPSec con FortiCliente - Policy Server Referencias: http://kb.fortinet.com http://docs.fortinet.com/ You can view this article online at: http://www.soportejm.com.sv/kb/index.php/article/ipsecdualwan

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback