▶️ Cómo configurar VPN de sitio a sitio entre fortigates (usando el asistente de configuración de VPN)

Objetivo

Este artículo explica la configuración de VPN de sitio a sitio donde ambos sitios tienen una IP pública estática en la interfaz WAN.

Cubre tanto la configuración del asistente como la manual.

Alcance
Para las versiones 5.6 a 6.4.

Configuración
La siguiente es la información de la dirección IP de ambos FortiGates.

Dispositivo	FortiGate-I	FortiGate-II
IP débil	172.25.176.62	172.25.177.46
IP de LAN	192.168.65.0/24	192.168.13.0/24

FortiGate – Configuración I.

Para crear un túnel VPN IPsec en el dispositivo FortiGate, seleccione VPN -> Asistente IPSec e ingrese el nombre del túnel.

Seleccione el Tipo de plantilla como Sitio a sitio, el ‘Tipo de dispositivo remoto’ como FortiGate y seleccione Configuración de NAT como Sin NAT entre sitios.

Seleccione ‘Siguiente’ para pasar a la parte de Autenticación.
En el paso de autenticación, configure la dirección IP en la dirección IP WAN del FortiGate remoto (en el ejemplo, 172.25.177.46).

Después de ingresar la dirección IP de WAN, el asistente asigna automáticamente una interfaz como la interfaz de salida.

Si se debe utilizar una interfaz diferente, debe seleccionarse en el menú desplegable.

Establezca una clave precompartida (PSK) segura. El par remoto también se puede autenticar a través de un certificado, como se explica aquí .

En el paso Política y enrutamiento, establezca Interfaz local en LAN.

El asistente agrega la subred local automáticamente.

Establezca Subredes remotas en la subred de la red de la sucursal (en el ejemplo, 192.168.13.0/24).
Establezca Acceso a Internet en Ninguno.

Una página de resumen muestra la configuración creada por el asistente, incluidas las interfaces, las direcciones de firewall, las rutas y las políticas.

El asistente configura automáticamente los selectores de fase 2, los grupos de direcciones de cortafuegos, las direcciones de cortafuegos, las rutas estáticas, las rutas de agujero negro y las políticas de cortafuegos.

Para ver la interfaz VPN creada por el asistente, vaya a Red -> Interfaces .

Para ver las direcciones de firewall creadas por el asistente, vaya a Política y objetos -> Direcciones .

Para ver las rutas creadas por el asistente, vaya a Red -> Rutas estáticas .

Para ver las políticas creadas por el asistente, vaya a Política y objetos -> Política IPv4 .

FortiGate – Configuración II.

Para crear un nuevo túnel IPsec VPN, conéctese a FGT-II, vaya a VPN > Asistente IPsec y cree un nuevo túnel.
En el paso Configuración de VPN, configure el Tipo de plantilla en Sitio a sitio, configure el Tipo de dispositivo remoto en FortiGate y configure la Configuración de NAT en Sin NAT entre sitios.

En el paso de autenticación, configure la dirección IP en la dirección IP WAN de FGT-I (en el ejemplo, 172.25.176.62).
Después de ingresar la dirección IP, el asistente asigna automáticamente una interfaz como Interfaz de salida.

Si es necesario utilizar una interfaz diferente, selecciónela en el menú desplegable.

Configure la misma clave precompartida (PSK) segura que se usó para la VPN en FortiGate-I.

En el paso Política y enrutamiento, establezca Interfaz local en LAN.

El asistente agrega la subred local automáticamente.

Establezca Subredes remotas en la subred de la red HQ (en el ejemplo, 192.168.65.0/24).

Establezca Acceso a Internet en ‘Ninguno’.

Una página de resumen muestra la configuración creada por el asistente, incluidas las interfaces, las direcciones de firewall, las rutas y las políticas.

Para abrir el túnel VPN, vaya a Monitor -> Monitor IPsec . Seleccione ‘Estado’ y seleccione Mostrar.

Hay una opción para habilitar la negociación automática para que los selectores de fase 2 siempre permanezcan activos, lo que se explica en el artículo adjunto.

Verificación
Para verificar si las subredes LAN pueden conectarse entre sí a través del túnel VPN, inicie un eco ICMP desde cualquier lado.

Solución de problemas
Si el túnel ARRIBA no está visible, genere un ticket de soporte. Será útil recopilar la siguiente salida de

depuración: Comandos de depuración:

# diag vpn tunnel list
# diag vpn ike filter clear
# diag vpn ike log-filter dst-addr4 x.x.x.x <—– Donde x.x.x.x es la IP WAN del sitio remoto .
# diag debug application ike -1
# diag debug consola timestamp enable
# diag debug enable

Una vez que se ejecutan los comandos, intente abrir el túnel desde la GUI ( VPN -> Monitor IPsec -> Abrir o con el comando):

# diagnose vpn tunnel up “vpn_tunnel_name” <—– Donde ‘vpn_tunnel_name’ es el nombre de la fase 1 del respectivo túnel VPN.

Una vez que se recopilan las depuraciones, detenga la depuración con el comando:

# diag debug disable
# diag debug reset

Adjunte el resultado completo al ticket junto con los archivos de configuración de ambos FortiGates.

¿Te ha resultado útil??

0 / 0

Mila y César

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.

¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!

Deja una respuesta 0

Otras preguntas sobre FortiGate

Uso del control de aplicaciones para bloquear los modelos del SO móvil
Bienvenidos 👍, para los que nos os acordéis de mí soy César Sánchez y hoy os voy a ayudar con: ⤵️ Uso del control de aplicaciones para bloquear los modelos del SO móvil Es posible denegar/permitir el acceso a los teléfonos móviles de forma exclusiva, bloqueándolos mediante la detección de dispositivos o el control de Leer
Cómo buscar una calificación de URL del filtro web de fortiguard
Descripción Este artículo explica cómo verificar una determinada URL en la base de datos de FortiGuard, para ver qué sistema de calificación de Fortinet FortiGuard tiene como calificación para esta URL. Solución Esto se puede hacer en línea usando lo siguiente: 1) http://url.fortinet.net/rate/submit.php 2) Acceda al sitio web https://fortiguard.com/ Vaya a: Servicios -> Filtrado Leer
SPAN (Port Mirroring) usando puertos asociados al controlador/chip de switch subyacente
Descripción Este artículo explica cómo configurar SPAN (duplicación de puertos) mediante puertos asociados al chip/controlador del conmutador subyacente. Alcance SPAN (duplicación de puertos) Solución La función Switch Port Analyzer (SPAN) ahora está disponible para interfaces de conmutador de hardware en modelos FortiGate con conmutadores de hardware incorporados (por ejemplo, FortiGate-100D, 140D y 200D, etc.) Para Leer
Captura de paquetes (sniffer)
Descripción Este artículo describe la herramienta rastreadora integrada que se puede utilizar para averiguar el tráfico que atraviesa diferentes interfaces. Solución El siguiente comando se usa para rastrear paquetes. # diagnose sniffer packet <interface> ‘<filter>’ <level> <count> <tsformat> <interface> <—– Puede ser ‘cualquiera’ o interfaz particular Leer
Opciones de DHCP
Descripción Este artículo describe cómo configurar las opciones de DHCP en FortiGate. Solución La siguiente captura de pantalla muestra que las opciones avanzadas de DHCP están habilitadas de forma predeterminada. Esto se puede encontrar en Red -> Interfaces -> <interfaz>. Desplácese hacia abajo para ver la opción de Servidor DHCP. La configuración avanzada de DHCP Leer

Cómo configurar VPN punto a punto entre fortigates (usando el asistente de configuración de VPN)