Descripción
Este artículo describe cómo agregar una ruta automática hacia cada lado remoto con una subred diferente cuando se utilizan varios Clientes VPN de acceso telefónico.
Si hay más de 300 clientes de acceso telefónico, sería complicado agregar un selector de modo rápido en la fase 2 para cada cliente de acceso telefónico. Por lo tanto, este artículo describe cómo agregar una ruta automática hacia cada subred remota a través del túnel con solo un selector de modo rápido.
Alcance
FortiOS.
Solución
Cada vez que se crea una VPN de acceso telefónico, la ruta automática siempre se crea desde el H0 FortiGate donde está configurado el servidor de acceso telefónico. Creará una ruta hacia el destino que se configura como dirección remota en los selectores de modo rápido de fase 2.
– La configuración Añadir ruta debe estar habilitado en la configuración de VPN para la creación automática de rutas.
Si se agrega 0.0.0.0/0 como dirección remota en los selectores de modo rápido, se agregará una ruta predeterminada a través de la interfaz de túnel que afectará el tráfico de Internet.
Tabla de enrutamiento para VRF=0
S 0.0.0.0/0 [15/0] a través de Túnel HO 10.40.19.15, [1/0]
S *> 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto1, [1/0]– Donde Port1 es un enlace wan
Si se agrega una subred específica como dirección remota en los selectores de modo rápido, entonces habrá una ruta de subred específica a través de la interfaz de túnel, pero si hay varios usuarios de acceso telefónico (más de 300), es necesario seguir agregando 300 selectores de modo rápido que será agitado.
Tomemos un ejemplo aquí como se muestra en el siguiente diagrama: –
Subred HO: – 10.10.10.0/24
Subred BO1: – 30.30.30.0/24
Subred BO2: – 20.20.20.0/24
La configuración necesaria a ser duna Arkansasmi as sigue:-
Configuración del selector de modo rápido HO: –
Agregue la dirección local como 10.10.10.0/24 y deje la dirección remota como 0.0.0.0/0 ya que habrá múltiples clientes de acceso telefónico con diferentes subredes y agregar un único selector de modo rápido será suficiente para evitar crear una ruta predeterminada en conflicto con la ruta predeterminada de Internet, se deben realizar ciertos cambios en BO FortiGate.
Configuración del selector de modo rápido BO1: –
Configuración del selector de modo rápido BO2: –
En todas las sucursales no deje ningún selector de modo rápido como 0.0.0.0/0.
Agregue la subred local según la subred de la sucursal y en la subred remota será la misma para todas las sucursales, que serán las subredes HO.
Ahora mirando la tabla de enrutamiento en HO FortiGate: –
Tabla de enrutamiento para VRF=0
S* 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto 1, [1/0]
S 20.20.20.0/24 [15/0] a través del túnel HO 10.40.19.60, [1/0]
S 30.30.30.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]
Los usuarios pueden ver rutas automáticas para dos subredes de sucursales a través de la interfaz del túnel incluso cuando agregan 0.0.0.0/0 como una dirección remota en los selectores de modo rápido en la configuración de HO FortiGate Phase 2 porque los selectores de modo rápido están configurados en cada sucursal y se completarán automáticamente en HO FortiGate.
Otro escenaario:-
– Supongamos que hay varias subredes en un BOen ese caso, los selectores de modo rápido deben configurarse como se muestra a continuación en BO:
No es necesario cambiar nada en HO.
Ahora el tabla de enrutamiento en HO FortiGate parece:-
Tabla de enrutamiento para VRF=0
S* 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto 1, [1/0]
S 20.20.20.0/24 [15/0] a través del túnel HO 10.40.19.60, [1/0]
S 30.30.30.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]
S 40.40.40.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]
Ahora se puede acceder a las subredes 30.30.30.0/24 y 40.40.40.0/24 a través del túnel 10.40.19.15.
– Qué sucede si la subred local se deja como 0.0.0.0/0 en BO FortiGate:
Aquí la subred local BO2 está configurada como 0.0.0.0/0 y se puede ver en la tabla de enrutamiento que solo para BO1 se ha creado la ruta específica para las subredes y para BO2 hay una ruta predeterminada.
Tabla de enrutamiento para VRF=0
S 0.0.0.0/0 [15/0] a través del túnel HO 10.40.19.60, [1/0]
S *> 0.0.0.0/0 [10/0] a través de 10.40.31.254, puerto 1, [1/0]
S*>30.30.30.0/24 [15/0] a través del túnel HO 10.40.19.15, [1/0]
Conclusión:
Uno debe dejar la dirección remota como 0.0.0.0/0 en HO FortiGate y configurar las subredes individuales en cada BO FortiGate y agregar la dirección local y remota en BO FortiGate
El flujo de depuración se ve así
Nos mostrará las subredes que se están recibiendo desde los lados de la sucursal y lo agregará en su tabla de enrutamiento. La distancia y la prioridad utilizadas aquí son 15 y 1, que es el valor predeterminado y se puede cambiar desde la configuración de la fase 1 a través de CLI:-
# config vpn ipsec phase1-interface
edit <tunnel_name>
set distance <>
set priority <>
end
Nota:
-La entrada de distancia y prioridad solo está disponible en la configuración de interfaz de fase 1 cuando el tipo está configurado en dinámico (establecer tipo dinámico).
– Desde los lados BO, la ruta estática debe configurarse para llegar a las subredes HO y la ruta automática solo se agregará en HO FortiGate donde se haya configurado el servidor de acceso telefónico.
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!