En este artículo, abordaremos la configuración de un túnel IPsec entre un firewall FortiGate y un firewall Cisco ASA. Este tema es crucial porque una configuración incorrecta puede resultar en problemas de conectividad y seguridad. Proporcionaremos pasos claros y precisos para ayudar a los administradores de red a establecer correctamente este túnel y garantizar que los datos fluyan de manera segura entre las dos redes.
Índice
Descripción del problema
La integración de diferentes tecnologías de firewall a veces puede ser complicada, en especial cuando se trata de establecer comunicación segura mediante IPsec. FortiGate y Cisco ASA son soluciones ampliamente utilizadas, pero requieren configuraciones específicas para trabajar juntas de manera efectiva.
Alcance
Este artículo se centra en la configuración de túneles IPsec entre FortiOS y Cisco ASA, proporcionando ejemplos concretos de configuración y comandos necesarios.
Diagnóstico paso a paso
Configuración en FortiGate
La configuración del FortiGate consta de varios pasos, que incluyen la configuración de interfaces, la configuración de VPN y las políticas de firewall necesarias.
Configuración de interfaces:
set ip 200.1.1.1 255.255.255.252
set allowaccess ping https ssh
next
edit «port2»
set ip 192.168.10.1 255.255.255.0
set allowaccess ping https ssh
next
end
Configuración de la fase 1 de IPsec VPN:
set interface «port1»
set peertype any
set net-device disable
set proposal aes128-sha1
set dhgrp 5
set remote-gw 200.2.2.1
set psksecret fortinet
next
end
Configuración de la fase 2 de IPsec VPN:
set phase1name «FG_to_ASA»
set proposal aes128-sha1
set pfs disable
set auto-negotiate enable
set src-subnet 192.168.10.0 255.255.255.0
set dst-subnet 192.168.20.0 255.255.255.0
next
end
Configuración de la interfaz de IPsec VPN:
set type tunnel
set interface «port1»
next
end
Configuración de ruta estática:
edit 1
set gateway 200.1.1.2
set device «port1»
next
edit 2
set dst 192.168.20.0 255.255.255.0
set device «FG_to_ASA»
next
end
Configuración de objetos de dirección de firewall para redes locales y remotas:
set subnet 192.168.10.0 255.255.255.0
next
edit «remote-network»
set subnet 192.168.20.0 255.255.255.0
next
end
Configuración de políticas de firewall:
set name «FG_to_ASA»
set srcintf «port2»
set dstintf «FG_to_ASA»
set action accept
set srcaddr «local-network»
set dstaddr «remote-network»
set schedule «always»
set service «ALL»
next
edit 2
set name «ASA_to_FG»
set srcintf «FG_to_ASA»
set dstintf «port2»
set action accept
set srcaddr «remote-network»
set dstaddr «local-network»
set schedule «always»
set service «ALL»
next
end
Configuración en Cisco ASA
A continuación, se presenta la configuración básica necesaria en el dispositivo Cisco ASA para permitir la comunicación a través del túnel IPsec.
Configuración de la interfaz:
ip address 200.2.2.1 255.255.255.252
nameif outside
security-level 0
no shutdown
exit
interface eth 1
ip address 192.168.20.1 255.255.255.0
nameif inside
security-level 100
no shutdown
exit
Configuración de la ruta por defecto:
Configuración de NAT desde la red local a la red pública:
subnet 192.168.20.0 255.255.255.0
nat (inside,outside) dynamic interface
exit
Configuración del grupo de objetos de red para redes locales y remotas:
network-object 192.168.20.0 255.255.255.0
exit
object-group network remote-network
network-object 192.168.10.0 255.255.255.0
exit
Configuración de listas de acceso para eximir tráfico de VPN en NAT:
Configuración exenta de NAT:
Configuración de la política IKEv1:
authentication pre-share
encryption aes
hash sha
group 5
lifetime 86400
exit
Habilitar IKEv1 en la configuración de la interfaz externa:
Configuración del grupo de túneles:
tunnel-group 200.1.1.1 ipsec-attributes
ikev1 pre-shared-key fortinet
Configuración del conjunto de transformaciones IKEv1:
Configuración del mapa criptográfico:
crypto map cryptomap 10 set peer 200.1.1.1
crypto map cryptomap 10 set ikev1 transform-set transform
Aplicar el mapa criptográfico en la configuración de la interfaz:
Verificación
FortiGate Fase 1:
name: FG_to_ASA
version: 1
interface: port1 3
addr: 200.1.1.1:500 -> 200.2.2.1:500
tun_id: 200.2.2.1/::200.2.2.1
remote_location: 0.0.0.0
network-id: 0
created: 606s ago
peer-id: 200.2.2.1
IKE SA: created 1/1 established 1/1 time 10390/10390/10390 ms
IPsec SA: created 1/1 established 1/1 time 10790/10790/10790 ms
id/spi: 35 c20d13dc1ebd6fbb/e6396cd9d4862984
direction: initiator
status: established 606-595s ago = 10390ms
proposal: aes128-sha1
key: ffdc6480b6badb0a-b4d3be2d16f834d2
lifetime/rekey: 86400/85504
DPD sent/recv: 00000000/71ef4085
peer-id: 200.2.2.1
FortiGate Fase 2:
——————————————————
name=FG_to_ASA ver=1 serial=1 200.1.1.1:0->200.2.2.1:0 tun_id=200.2.2.1
bound_if=3 lgwy=static/1 tun=intf mode=auto/1 encap=none/552 options[0228]=npu frag-rfc run_state=0 role=primary accept_traffic=1 overlay_id=0
proxyid_num=1 child_num=0 refcnt=4 ilast=6 olast=6 ad=/0
stat: rxp=5 txp=5 rxb=420 txb=420
dpd: mode=on-demand on=1 idle=20000ms retry=3 count=0 seqno=0
natt: mode=none draft=0 interval=0 remote_port=0
fec: egress=0 ingress=0
Cisco ASA Fase 1:
Active SA: 1
Rekey SA: 0 (un túnel reportará 1 Active y 1 Rekey SA durante rekey)
Total IKE SA: 1
1 IKE Peer: 200.1.1.1
Type : L2L Role : responder
Rekey : no State : MM_ACTIVE
Cisco ASA Fase 2:
Crypto map tag: cryptomap, seq num: 10, local addr: 200.2.2.1
access-list s2svpn extended permit ip 192.168.20.0 255.255.255.0 192.168.10.0 255.255.255.0
Notas adicionales
Al configurar un túnel IPsec entre FortiGate y un dispositivo de terceros (como Cisco), se sugiere configurar fases 2 separadas por cada par de subredes en lugar de configurar múltiples subredes en una sola fase 2.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!