6

AZURE – Configuración VPN Site to Site en dispositivo Fortigate

Hola a tod@s,

En este post vamos a ver como configurar una VPN Site to Site en un dispositivo Fortigate.

  • En nuestro Fortigate nos vamos a VPN > Asistente IPsec > Personalizar, le indicamos un nombre y siguiente:

  • Configuramos los ajustes de red:
  • Para Puerta de enlace remota, seleccionamos Dirección IP estática e ingresamos la dirección IP proporcionada por Azure.
  • Para Interfaz, seleccionamos wan1
  • Para NAT Traversal, seleccionamos Desactivar
  • Para Dead Peer Detection (Detección de punto remoto inalcanzable), seleccionamos On Idle (Ocioso)

  • Configuramos los ajustes de autenticación:
  • En Método, seleccionamos Llave Compartida e ingresamos la Clave.
  • Para IKE, seleccionamos la versión 2.

  • Configuramos los ajustes de la propuesta de fase 1 .
  • Establezcemos la combinación de cifrado y autenticación en las tres combinaciones de algoritmos de cifrado admitidas aceptadas por Azure.
    • AES256 y SHA1
    • 3DES y SHA1
    • AES256 y SHA256
  • Para Grupos Diffie-Hellman, seleccionamos 2.
  • Establezcemos el Key Lifetime (segundos) en 28800.

  • En Selectores de Fase 2, expanda la sección Avanzado para configurar los ajustes de Propuesta de Fase 2.
  • Configuramos las combinaciones de cifrado y autenticación:
    • AES256 y SHA1
    • 3DES y SHA1
    • AES256 y SHA256
  • Desmarcamos Habilitar Perfect Forward Secrecy (PFS).
  • Establezcemos el Key Lifetime (segundos)en 27000.
  • Clic a OK.

  • Como podemos ver, aquí tenemos el Túnel IPsec creado:

  • Ahora vamos a crear el objeto direcciones con el espacio de direcciones que tenemos configurado en la Red Virtual de Azure, para ello, accedemos a Políticas y Objetos > Dirección > Crear nuevo > Dirección:

  • Le indicamos un nombre, la subred y la interface:

  • Como podemos ver ya tenemos el objeto dirección creado:

  • Ahora vamos a crear las políticas:
  • Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

  • Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

  • Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

  • Aquí podemos ver las políticas creadas:

  • Ahora vamos a limitar el tamaño máximo de segmento de TCP (MSS) que se envía y recibe para evitar la caída y la fragmentación de paquetes, para hacer esto, usaremos los siguientes comandos CLI en ambas políticas:

config firewall policy

   edit <policy-id>

      set tcp-mss-sender 1350

      set tcp-mss-receiver 1350

   next

end

  • Para terminar, vamos a crear una ruta estática que obligue al tráfico saliente que va a Azure, a pasar por el túnel basado en rutas, para ello accedemos a Red > Ruta Estática > Crear nuevo:

  • Con esto, hemos terminado de configurar la VPN en nuestro dispositivo Fortigate, ahora nos quedaría configurar la conexión en Azure.

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

6 comentarios

  1. Buenisimo el tutorial. Que software usas para el whiteboarding asi que se vea como si lo hubieras hecho a mano ?.

    Saludos,

    • Buenas Víctor, me alegro que te guste el post, lo del whiteboarding está copiado de la web de Fortinet, yo simplemente lo adapto a mi infraestructura
      Saludos.

  2. What is the reason to change the mms values?
    set tcp-mss-sender 1350
    set tcp-mss-receiver 1350

  3. Hola cómo estas? Genial este post me sirvió muchísimo, ahora busco y no puedo encontrar algo para…. Tengo dos enlaces Isp y un fortigate, por ahora uso un solo uso, pero quiero configurar el sdwan con una VPN a azure y no logro conseguirlo como configuro azure para el sd wan? Gracias saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.