En la configuración de redes, la necesidad de clonar un túnel IPsec entre interfaces WAN es un desafío común. Este procedimiento es vital ya que permite replicar configuraciones de VPN existentes, lo que ahorra tiempo y esfuerzo en la administración de redes. En este artículo, se proporcionará una guía detallada sobre cómo clonar un túnel IPsec en FortiGate, asegurando una configuración precisa y eficiente.
Índice
Descripción del problema
El artículo aborda cómo duplicar un túnel IPsec que ya está configurado para una interfaz WAN específica, permitiendo su reutilización en otra interfaz WAN. Esta función resulta útil en entornos donde múltiples conexiones VPN son necesarias y se desea mantener una configuración homogénea.
Alcance
FortiGate.
Diagnóstico paso a paso
Para clonar un túnel IPsec, es esencial recopilar toda la información necesaria del túnel existente. A continuación, se presentan los pasos detallados:
Fase 1 – Información:
config vpn ipsec phase1-interface
edit "IPsecTunnel"
set interface "port1"
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: IPsecTunnel (Creado por asistente VPN)"
set remote-gw x.x.x.x
set psksecret ENC cKEiJTnk9PJH1fNS9j7BDqFqUmgiLT4EOqqzJKRlrhMIVnTdYvHmqZHRaRM3p1sz/BjYqCLv0YEZplWjECN6HvzOE2jwY1JU0IPRcFGRkmE2yvMrjltUQEThZNPq73Q9wMOT+vM/M0eW6
3wEQj/wqpgatsXrRnBxhniXcDp6LssBLsq9MlvwYb3rhAEl7puEOdwYzw==
next
end
Fase 2 – Información:
config vpn ipsec phase2-interface
edit "IPsecTunnel"
set phase1name "IPsecTunnel"
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set comments "VPN: IPsecTunnel (Creado por asistente VPN)"
set src-addr-type name
set dst-addr-type name
set src-name "IPsecTunnel_local"
set dst-name "IPsecTunnel_remote"
next
end
Solución recomendada
Una vez que se ha recopilado toda la información del túnel IPsec existente, se realizarán las siguientes modificaciones en un editor de texto, antes de pegar la configuración en el CLI:
config vpn ipsec phase1-interface
edit "IPsecTunnel2" <- Cambiar el nombre del túnel.
set interface "port5" <- Cambiar el puerto a la interfaz WAN deseada.
set peertype any
set net-device disable
set proposal aes128-sha256 aes256-sha256 aes128-sha1 aes256-sha1
set comments "VPN: IPsecTunnel (Creado por asistente VPN)"
set remote-gw x.x.x.x
set psksecret ENC "
cKEiJTnk9PJH1fNS9j7BDqFqUmgiLT4EOqqzJKRlrhMIVnTdYvHmqZHRaRM3p1sz/BjYqCLv0YEZplWjECN6HvzOE2jwY1JU0IPRcFGRkmE2yvMrjltUQEThZNPq73Q9wMOT+vM/M0eW6
3wEQj/wqpgatsXrRnBxhniXcDp6LssBLsq9MlvwYb3rhAEl7puEOdwYzw==
"
next
end
Para la parte del PSK, siga las instrucciones mostradas en la captura de pantalla a continuación para pegarlo:
config vpn ipsec phase2-interface
edit "IPsecTunnel2" <- Cambiar el nombre del túnel
set phase1name "IPsecTunnel2" <- Cambiar el nombre del túnel
set proposal aes128-sha1 aes256-sha1 aes128-sha256 aes256-sha256 aes128gcm aes256gcm chacha20poly1305
set comments "VPN: IPsecTunnel (Creado por asistente VPN)"
set src-addr-type name
set dst-addr-type name
set src-name "IPsecTunnel_local"
set dst-name "IPsecTunnel_remote"
next
end
Verifique que el túnel se ha creado desde la GUI:
Antes de clonar el túnel
Después de clonar el túnel:
Comandos CLI utilizados
Obtenga información sobre la ruta estática y la política de firewall:
config router static
edit 2
set device "IPsecTunnel"
set comment "VPN: IPsecTunnel (Creado por asistente VPN)"
set dstaddr "IPsecTunnel_remote"
next
end
config firewall policy
edit 2
set name "vpn_IPsecTunnel_remote_0"
set uuid 7e44106e-a776-51ef-dedb-e06d8c3a0afb
set srcintf "IPsecTunnel"
set dstintf "port2"
set action accept
set srcaddr "IPsecTunnel_remote"
set dstaddr "IPsecTunnel_local"
set schedule "always"
set service "ALL"
set comments "VPN: IPsecTunnel (Creado por asistente VPN)"
next
end
Buenas prácticas y recomendaciones
Después de clonar/copy las políticas de firewall para el túnel, asegúrese de cambiar la interfaz del túnel a un nuevo túnel. Use los siguientes comandos:
config firewall policy
clone 1 to 3
clone 2 to 4
end
Luego, cambie la interfaz del túnel IPsec desde la GUI o simplemente pegue la política de firewall copiada con un túnel IPsec modificado:
config firewall policy
edit 2
set name "vpn_IPsecTunnel_remote_0"
set uuid 7e44106e-a776-51ef-dedb-e06d8c3a0afb
set srcintf "IPsecTunnel2" <- Cambiar el nombre del túnel.
set dstintf "port2"
set action accept
set srcaddr "IPsecTunnel_remote"
set dstaddr "IPsecTunnel_local"
set schedule "always"
set service "ALL"
next
end
GUI:
Método de clonación
De manera similar, clone o copie la ruta estática y configure la interfaz al nuevo túnel.
CLI:
config router static
edit 3
set device "IPsecTunnel2" <- Cambiar el nombre del túnel.
set dstaddr "IPsecTunnel_remote"
next
end
GUI:
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!