En este artículo, abordamos la configuración de múltiples VDOMs en un dispositivo FortiGate, que operan como HUBs compartiendo una única dirección IP pública. Este método es crucial especialmente en entornos MSSP o de múltiples inquilinos, donde diferentes clientes utilizan una topología de HUB y radio. Al final de esta guía, aprenderás a configurar correctamente un sistema NAT VDOM para enrutar puertos IPsec personalizados entre los VDOMs de clientes, optimizando así el uso de direcciones IP y mejorando la seguridad de la red.
Descripción del problema
Este artículo describe una configuración que utiliza múltiples VDOMs como HUBs compartiendo una única dirección IP pública. Un VDOM NAT se utiliza para redirigir puertos IPsec personalizados entre los VDOMs de los clientes. En escenarios donde diferentes clientes comparten un dispositivo FortiGate HUB, pero requieren aislamiento, los VDOMs permiten separar a cada cliente. Normalmente, cada HUB será accesible desde los radios que apunten a una dirección IP pública o FQDN dedicado al cliente.
En algunos casos, el proveedor puede necesitar compartir las direcciones IP públicas, ya que las direcciones IP asignadas no son suficientes para cubrir su base de clientes de 1:1.
Alcance
Compatible con FortiOS: 7.0 y versiones posteriores:
Arquitectura General
Diagnóstico paso a paso
Sigue los pasos 1 a 7 para configurar el sistema en FortiGate HUB:
- Configura un VDOM llamado ‘NAT’. Este VDOM alojará la interfaz WAN con la dirección IP pública.
NAT VDOM
- Configura tantos VDOMs como clientes a desplegar: Cliente1… ClienteN.
Customer VDOM
- En el VDOM Global, para cada par de VDOMs NAT-Cliente, configura un enlace inter-VDOM /30.
enlace inter-vdom
Consulta Configurar enlace inter-VDOM.
Alternativamente, puede usarse un enlace de VDOM acelerado por hardware: Configurando la aceleración de enlace inter-VDOM.
- Configura una ruta predeterminada en el VDOM Cliente:
ruta predeterminada del cliente
- Personaliza el puerto IKE en cada VDOM Cliente, y asigna un puerto dedicado para cada Cliente:
config vdom
edit cliente01
current vf=cliente01:4
config system settings
set ike-port 45001
end
Referencia: Puerto IKE configurable.
- En el VDOM NAT, crea un VIP con reenvío de puertos para cada cliente utilizando el puerto IKE.
VIP reenvío de puerto IKE
Referencia: IP Virtual con servicios.
- En el VDOM NAT, configura una política DNAT utilizando el VIP creado previamente.
Política DNAT
- En el FortiGate del Spoke, configura el puerto IKE correspondiente:
config system settings
set ike-port 45001
end
- Finalmente, configura el túnel IPsec dial-up dependiendo del escenario deseado (hub y spoke, sitio a sitio). En todos los radios, utiliza la dirección IP pública del HUB compartido como gateway remoto.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!