En este artículo, abordaremos un problema técnico que afecta la conectividad entre dos dispositivos FortiGate utilizando una configuración IPsec. Este tema es crucial porque, sin una correcta configuración, no se puede acceder a los recursos detrás del FortiGate remoto, lo que puede interrumpir funciones críticas de red. Este artículo proporcionará un diagnóstico detallado y una solución recomendada para asegurar que el tráfico fluya correctamente entre ambos puntos.
Índice
Descripción del problema
El problema se presenta en configuraciones IPsec entre dos dispositivos FortiGate, donde el tráfico desde el FortiGate local no puede alcanzar los recursos detrás del FortiGate remoto. Es esencial solucionar esta cuestión para mantener la integridad y disponibilidad de las conexiones de red entre sitios.
Alcance
Este artículo es aplicable a las versiones de FortiOS 6.X y 7.X.
Diagnóstico paso a paso
Para solucionar el problema, consideraremos la siguiente topología de red:
192.168.10.0 ——- FortiGate1 ——— IPsec ——— FortiGate2 ——– 192.168.1.X
La configuración propuesta permitirá realizar un ping desde el FortiGate1 hacia el recurso 192.168.1.X detrás del FortiGate2 sin necesidad de usar opciones de ping para seleccionar una interfaz.
Solución recomendada
Para comenzar, es necesario asignar una dirección IP a la interfaz del túnel IPsec. Para ello, consulte: Configurar dirección IP en un túnel IPSec – Comunidad de Fortinet.
En este ejemplo, se asignará la dirección IP 192.168.168.1 a la interfaz del túnel:
Después de esto, es necesario crear un Objeto de Dirección con la IP asignada a la interfaz del túnel y agregarlo a los selectores de fase 2 en ambos dispositivos. Desde el lado de FortiGate1, se agregará como un selector local de fase 2, y en FortiGate2, se agregará como un selector remoto de fase 2:
Configuración en FortiGate1
Configuración en FortiGate2
Por último, es necesario configurar esta dirección en la Política de Firewall para el tráfico entrante desde el túnel en el FortiGate2:
De este modo, será posible acceder a los recursos detrás del FortiGate2 desde la interfaz del túnel IPsec en el FortiGate1:
Tabla de enrutamiento para Test=0
S* 0.0.0.0/0 [5/0] via 104.157.124.1, wan, [1/0]S 192.168.1.0/24 [10/0] via Test tunnel RemotePublicIP, [1/0]C 192.168.168.1/32 is directly connected, Test
diagnose ip address list
IP=3.134.156.191->3.134.156.191/255.255.255.0 index=5 devname=wan
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=13 devname=root
IP=10.255.1.1->10.255.1.1/255.255.255.0 index=17 devname=fortilink
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=19 devname=vsys_ha
IP=127.0.0.1->127.0.0.1/255.0.0.0 index=21 devname=vsys_fgfm
IP=192.168.168.1->192.168.168.1/255.255.255.255 index=22 devname=Test
Buenas prácticas y recomendaciones
Para asegurar que la configuración funcione de manera óptima, es recomendable seguir las mejores prácticas al configurar conexiones VPN, asegúrese de:
- Guardar copias de seguridad de la configuración antes de realizar cambios.
- Monitorear el tráfico en el túnel IPsec para detectar posibles problemas de conectividad.
- Utilizar diagnósticos para verificar la conectividad y la configuración de los IPsec tunnels.
- Someter a pruebas periódicas el tráfico para garantizar que las configuraciones se mantengan funcionales.
Notas adicionales
Asegúrese de que ambos FortiGate tengan configuraciones de firewall apropiadas y reglas de acceso que permitan el tráfico entre ellos. Esté atento a cualquier registro de error que pueda ayudar a identificar problemas de conectividad en la red.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!