Hola a tod@s,
En este post vamos a ver como configurar una VPN Site to Site en un dispositivo Fortigate.
- En nuestro Fortigate nos vamos a VPN > Asistente IPsec > Personalizar, le indicamos un nombre y siguiente:
- Configuramos los ajustes de red:
- Para Puerta de enlace remota, seleccionamos Dirección IP estática e ingresamos la dirección IP proporcionada por Azure.
- Para Interfaz, seleccionamos wan1
- Para NAT Traversal, seleccionamos Desactivar
- Para Dead Peer Detection (Detección de punto remoto inalcanzable), seleccionamos On Idle (Ocioso)
- Configuramos los ajustes de autenticación:
- En Método, seleccionamos Llave Compartida e ingresamos la Clave.
- Para IKE, seleccionamos la versión 2.
- Configuramos los ajustes de la propuesta de fase 1 .
- Establezcemos la combinación de cifrado y autenticación en las tres combinaciones de algoritmos de cifrado admitidas aceptadas por Azure.
- AES256 y SHA1
- 3DES y SHA1
- AES256 y SHA256
- Para Grupos Diffie-Hellman, seleccionamos 2.
- Establezcemos el Key Lifetime (segundos) en 28800.
- En Selectores de Fase 2, expanda la sección Avanzado para configurar los ajustes de Propuesta de Fase 2.
- Configuramos las combinaciones de cifrado y autenticación:
-
- AES256 y SHA1
- 3DES y SHA1
- AES256 y SHA256
- Desmarcamos Habilitar Perfect Forward Secrecy (PFS).
- Establezcemos el Key Lifetime (segundos)en 27000.
- Clic a OK.
- Como podemos ver, aquí tenemos el Túnel IPsec creado:
- Ahora vamos a crear el objeto direcciones con el espacio de direcciones que tenemos configurado en la Red Virtual de Azure, para ello, accedemos a Políticas y Objetos > Dirección > Crear nuevo > Dirección:
- Le indicamos un nombre, la subred y la interface:
- Como podemos ver ya tenemos el objeto dirección creado:
- Ahora vamos a crear las políticas:
- Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:
- Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:
- Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:
- Aquí podemos ver las políticas creadas:
- Ahora vamos a limitar el tamaño máximo de segmento de TCP (MSS) que se envía y recibe para evitar la caída y la fragmentación de paquetes, para hacer esto, usaremos los siguientes comandos CLI en ambas políticas:
config firewall policy
edit <policy-id>
set tcp-mss-sender 1350
set tcp-mss-receiver 1350
next
end
- Para terminar, vamos a crear una ruta estática que obligue al tráfico saliente que va a Azure, a pasar por el túnel basado en rutas, para ello accedemos a Red > Ruta Estática > Crear nuevo:
- Con esto, hemos terminado de configurar la VPN en nuestro dispositivo Fortigate, ahora nos quedaría configurar la conexión en Azure.
Saludos y espero que os sea de ayuda 😉
Buenisimo el tutorial. Que software usas para el whiteboarding asi que se vea como si lo hubieras hecho a mano ?.
Saludos,
Buenas Víctor, me alegro que te guste el post, lo del whiteboarding está copiado de la web de Fortinet, yo simplemente lo adapto a mi infraestructura
Saludos.
Puedes usar Excalidraw para hacer los dibujos como si estuviesen hechos a mano alzada
Saludos Víctor
What is the reason to change the mms values?
set tcp-mss-sender 1350
set tcp-mss-receiver 1350
Hola cómo estas? Genial este post me sirvió muchísimo, ahora busco y no puedo encontrar algo para…. Tengo dos enlaces Isp y un fortigate, por ahora uso un solo uso, pero quiero configurar el sdwan con una VPN a azure y no logro conseguirlo como configuro azure para el sd wan? Gracias saludos
hola pudiste ? necesito hacer lo mismo y no sé como maneja el balanceo azure