En este post vamos a ver como configurar una VPN IPSEC de acceso remoto en un firewall Fortigate, con este tipo de VPN usando el protocolo IPSec nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado.

• Lo primero que vamos a realizar será, crear los usuarios locales que accederán a través de la VPN:

• Para una correcta administración, los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

• Una vez creados los usuarios y grupos, vamos a crearnos el túnel IPSec, para ello, accedemos a VPN > Túneles Ipsec > Crear nuevo > IPsec Tunnel:

• Sobre Configuración de VPN, le indicamos un nombre y seleccionamos Acceso remoto, Siguiente:

• Sobre Autenticación, le indicamos la interface de entrada, el método de autenticación por llave compartida y el grupo de usuario, este grupo lo eliminaremos de la configuración de las fases más tarde, ya que las políticas de acceso irán configuradas con grupos y no sería necesario, Siguiente:

• Sobre Política y Enrutamiento, vamos a configurar esta política, que más tarde vamos a eliminar, ya que iremos aplicando políticas más granulares y restrictivas, habilitamos el Split Tunnel, esto hará que los usuarios que se conecten a la VPN, tengan la salida a Internet por su propia conexión y no por la nuestra, Siguiente:

• Sobre Opciones de cliente, le indicamos que guarde la contraseña, y habilitamos el Keep Alive, Crear:

• Aquí nos indica todo lo que hemos configurado, damos a Mostrar la lista de túnel:

• Vemos el túnel IPsec que nos ha creado, damos a Editar:

• Convertimos a túnel personalizado:

• Para la parte de Red, configuramos estos parámetros:

• Para la parte de Autenticación, configuramos lo siguiente:

• Para la propuesta de la fase 1, configuramos estos parámetros:

• Para XAUTH, aquí es donde quitamos el grupo que configuramos al crear el túnel, y para el Grupo de Usuarios, le indicamos que los herede de las políticas:

• Para los Selectores de fase 2, configuramos estos parámetros, damos a OK:

• Aquí tenemos ya el túnel IPsec configurado de modo personalizado:

• Antes de seguir, vamos a explicar, estos dos objetos que se han creado al crear la VPN IPsec.
• Uno de ellos es, ipsecra_range, este objeto es para asignar las direcciones IPs de los equipos que se conecten a nuestra VPN PIsec de acceso remoto:

• El otro es, ipsecra_split, este objeto es un grupo de direcciones que actúa como una «lista blanca» de destinos, su función principal es decirle al cliente VPN (FortiClient) qué tráfico debe enviar obligatoriamente a través del túnel y cuál debe ignorar para que salga por su conexión local a Internet.
• Cuando habilitamos el Split Tunneling (Túnel Dividido), el comportamiento es el siguiente:
• Si el destino está en el objeto ipsecra_split, el FortiClient enruta ese tráfico por la VPN.
• Si el destino NO está ahí, el FortiClient lo envía por la puerta de enlace predeterminada del usuario (su internet doméstico).

• También podemos ver, que en la interface de red que le indicamos al túnel VPN IPsec, nos ha creado esta interface virtual:

• Para terminar de configurar la VPN IPsec de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual, editamos la regla que se nos creó al crear el túnel IPsec:

• Con esto ya tendríamos configurada y operativa nuestra VPN IPsec de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPN IPsec para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante IPsec:

• Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

• Aquí vemos el túnel levantado:

• Desde el Monitor IPsec de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

• Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuestra VPN IPsec de acceso remoto:

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo configurar SD-WAN (Software-Defined WAN) en firewalls fortigate.

SD-WAN es una interface virtual compuesta por 2 o más interfaces con acceso a Internet, el objetivo de SD-WAN es hacer un uso mucho más efectivo de nuestras conexiones hacia internet aplicando diferentes criterios de balanceo.

• Antes de empezar vamos a ver las interfaces de red que tenemos configuradas en nuestro firewall, para ello, accedemos a Network > Interfaces y vemos que ya tenemos configuradas la interface LAN y dos interfaces WAN para la salida a Internet, estas dos interfaces son las que vamos a configurar para la SD-WAN:

• Para empezar a configurar SD-WAN accedemos a Network > SD-WAN y la configuramos manualmente:

• Sobre SD-WAN Zones podemos ver que hay creada ya una interface virtual, podemos utilizar esta interface y añadirle los miembros y empezar a trabajar, pero en nuestro caso nos vamos a crear una nueva zona y le vamos a añadir como miembros nuestras dos interfaces WAN:

• Le indicamos un nombre y OK:

• Aquí vemos que ya la tenemos creada:

• Ahora vamos a añadir y configurar las interfaces miembros de esta nueva zona SD-WAN, para ello, accedemos a Create new > SD-WAN Member:

• Añadimos las dos interfaces WAN que tenemos en nuestro firewall, indicándole la zona, la puerta de enlace, el costo y la habilitamos:

• Vemos que ya tenemos la zona creada con nuestras dos interfaces WAN:

• Si accedemos de nuevo a Network > Interfaces podemos ver la interface virtual para la nueva zona SD-WAN y las interfaces que la componen (WAN1 y WAN2):

• El siguiente paso será crearnos la ruta estática por defecto para la salida a Internet por la SD-WAN, para ello, accedemos a Network > Static Routes > Create new y creamos la ruta por defecto para la SD-WAN:

• Aquí vemos que ya la tenemos creada:

• Para verificar que funciona, desde la CLI le hacemos un ping a google.com y vemos que ya recibimos respuesta:

• Empezamos a ver tráfico sobre la SD-WAN, de momento sólo hay tráfico por la WAN1 ya que no tenemos configuradas las performance SLAs, entonces no estamos aplicando ningún tipo de balanceo, simplemente la interface WAN2 entrará a funcionar si la WAN1 cae, ahora más adelante configuraremos las performance SLAs:

• Ahora vamos a crear una política en el firewall para darle acceso web a todos los usuarios de nuestra red interna LAN a través de la SD-WAN:

• Aquí tenemos la política creada:

• Ahora vamos a ver las Performance SLAs, accedemos a Network > SD-WAN > Performance SLAs y vemos que por defecto ya tenemos creadas algunas, con las Performance SLAs vamos a poder balancear por distintos criterios entre todas las interfaces miembros de la SD-WAN, estas performances SLAs que nos ha creado por defecto no tienen asignadas ninguna interface:

• En nuestro caso nos vamos a crear estas dos performances SLAs y las vamos a asociar a las dos interfaces WAN1 y WAN2 de nuestra SD-WAN:

• Como podemos ver, aquí las tenemos ya creadas y configuradas:

• Ahora si accedemos a nuestra zona SD-WAN, ya podemos ver que estamos realizando balanceo de carga, vemos que ya tenemos tráfico en ambas interfaces, no como antes, que todo estaba saliendo por la WAN1 y si fallaba ésta, entonces entraba en funcionamiento la WAN2:

• Realmente el balanceo de carga se realiza a través de las reglas de SD-WAN, y por defecto, ya trae una regla implícita, que realiza un balanceo del 50% en cada interface, nosotros nos podemos ir creando reglas más específicas y configurar balanceos por ejemplo a sitios webs más específicos a través de estas reglas, esta sería la regla implícita por defecto:

• Para Source IP, el tráfico se divide a partes iguales entre los miembros, y las sesiones que comienzan en la misma dirección de origen utilizan la misma ruta:

• Para Sessions, el tráfico se distribuye en función del número de sesiones que se conectan a través del miembro:

• Para Spillover, el miembro de mayor prioridad se utiliza hasta que el ancho de banda supera los umbrales de entrada y salida, el tráfico adicional se envía a través del siguiente miembro SD-WAN:

• Para Source-Destination IP, el tráfico se divide a partes iguales, las sesiones que empiezan en la misma dirección IP de origen y van a la misma dirección IP de destino utilizan la misma ruta:

• Para Volume, la carga de trabajo se distribuye en función del número de paquetes que pasan por el miembro:

• Y estos serían los algoritmos de balanceo de carga utilizados para la regla implícita por defecto, con origen en todos (all) y destinos en todos (all).
• Nosotros nos podemos crear reglas más específicas que se irán ubicando por encima de la regla implícita, teniendo así mayor prioridad, por ejemplo, nos vamos a crear una regla para el acceso a LinkedIn de los usuarios de nuestra LAN, para ello, accedemos a SD-WAN > SD-WAN Rule:

• Damos a Create new, dónde le asignamos un nombre, le indicamos el origen, que serán los equipos de nuestros usuarios, el destino que va a ser el servicio de internet LinkedIn-Web, le indicamos la estrategia del balanceo de carga a seguir, que será la que tenga mejor calidad con respecto al criterio de latencia utilizando uno de los performances SLAs que nos creamos anteriormente:

• Aquí tenemos la regla ya creada y operativa:

• A partir de aquí podemos ir ya configurando las reglas que nos vayan interesando y con los distintos balanceos de carga que nos vengan mejor.

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo configurar un web proxy transparente en un firewall Fortigate, un proxy transparente es una combinación de un proxy con NAT para que las conexiones se enruten dentro del proxy y el cliente no tenga que hacer ninguna configuración. En la mayoría de los casos en los que se emplea esta opción, el propio usuario desconoce que se esté utilizando un proxy.

• Para empezar, lo primero que vamos a realizar es habilitar en las características de nuestro firewall el Proxy Explícito, para ello accedemos a Sistema > Visibilidad de Característica > Funciones de seguridad y lo habilitamos:

• Lo siguiente que vamos a realizar será editar una de nuestras políticas de salida a Internet:

• En el Modo de inspección, lo configuraremos como Basado en Proxy, y aplicamos cambios:

• Una vez aplicado el cambio, vamos a editar la política por la CLI:

• Añadimos a la configuración set http-policy-redirect enable:

• Una vez introducido el comando, vemos que en la política ya nos aparece esta nueva opción:

• Habilitamos también en la regla, Inspección SSL > certificate-inspection:

• Ahora debemos acceder a Políticas y Objetos > Política de Proxy, como podemos ver, nos ha creado una política implícita de DENY, denegándonos el acceso a cualquier sitio web:

• Ahora desde cualquier equipo de nuestra LAN se le va a denegar el acceso hacia internet:

• Para habilitar la salida a Internet pasando por el web proxy, accedemos a Políticas y Objectos > Política de Proxy > Crear nuevo:

• Nos creamos esta regla como web transparente, dónde le indicamos a nuestra LAN, que le permitimos la conexión hacia Internet, a través del web proxy:

• Aquí la tenemos creada:

• Si accedemos a la misma web de antes, vemos que ya tenemos acceso:

• Ahora nos vamos a crear estos objetos de dirección, que son los que vamos a utilizar para denegar en las reglas las webs que nos interesen, Políticas y Objetos > Dirección > Crear nuevo > Dirección:

• Configuramos la categoría como Dirección de Proxy, le indicamos un Nombre, seleccionamos el patrón como Coincidencia de Expresión Regular de Host, y le ponemos el patrón que nos interese:

• Nos hemos creado estos objetos de dirección de proxy:

• Ahora nos vamos a crear esta regla para denegar la web o las webs que nos interesen, Políticas y Objectos > Política de Proxy > Crear nuevo:

• En esta regla denegamos a nuestra LAN el acceso a las webs indicadas:

• Como podemos ver, aquí la tenemos, y la ubicamos por encima de la regla de permitir todo el acceso a Internet:

• Ahora si intentamos acceder a cualquiera de estas webs nos va a indicar que no es posible, que tenemos el acceso denegado:

• Vemos que ya tenemos tráfico de denegación en nuestras reglas:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo configurar un servidor DHCP Relay en un firewall Fortigate, este DHCP relay va a escuchar las peticiones DHCP que se producen en la red, y las va a encaminar hacia un servidor DHCP que se encuentra en otra red para que éste las atienda, el servidor DHCP dará una respuesta que enviará hacia el DHCP relay configurado en nuestro Fortigate, y éste la trasladará al cliente que hizo la petición.

• Para empezar, vamos a ver que tenemos configurado nuestro servidor DHCP con el ámbito de red que queremos asignar a nuestros equipos clientes, y estas serían las distintas configuraciones del ámbito:

• Ahora en nuestro firewall fortigate vamos a acceder a Red > Interfaces y editaremos la red dónde vamos a configurar nuestro servidor DHCP relay:

• Sobre la edición de la interface de red, vamos a habilitar el servidor DHCP y en Avanzado seleccionamos el modo Relay, tipo Regular y ponemos la IP del servidor DHCP dónde hemos configurado el ámbito para esta red, en este caso, he puesto dos servidores DHCP ya que en mi infraestructura tengo montado un failover cluster para este servicio con balaceo de carga 50%-50%:

• Como podemos ver, ya lo tenemos configurado:

• Ahora accedemos a una máquina cliente de nuestra infraestructura, y como podemos ver, ya se le está sirviendo el direccionamiento IP y las opciones del ámbito que hemos configurado, todo ello, a través del DHCP relay configurado en el fortigate:

• En nuestra consola del servidor DHCP, podemos ver la concesión de direcciones para esta red:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo bloquear conexiones VPN SSL desde ciertas IPs públicas en un firewall Fortigate.

• En muchas ocasiones podemos ver en los logs de nuestros firewalls fortigate, que están intentando acceder a nuestra conexión VPN SSL desde IPs sospechosas, en esta captura podemos ver intentos de sesión fallidos desde una IP y está intentando probar con distintos usuarios:

• Para bloquear a esta IP pública, lo primero que voy a realizar será crearme un grupo de direcciones llamado blacklistipp, dónde iré añadiendo todas las IPs públicas sospechosas:

• Antes he creado los objetos de cada dirección IP pública, aquí muestro un ejemplo:

• Así nos quedaría:

• Para bloquear las conexiones VPN SSL a estas IPs públicas, accedemos a la consola de nuestro firewall y nos vamos a la configuración de la VPN SSL, con el comando config vpn ssl setting, una vez dentro de la configuración ejecutamos, set source-address «blacklistipp» y set source-address-negate enable, con el comando show podemos ver que la configuración se ha aplicado:

• Ahora, cuando un usuario intente conectarse desde una IP pública de la lista, la VPN SSL será rechazada:

• Es posible ver, que una de estas IPs públicas de la lista bloqueada está intentando conectarse, pero nuestro FortiGate no responde, para ello, ejecutamos el comando diagnose sniffer packet any «host 80.94.95.175 and port 10443» 4:

• Como podemos ver, si ejecutamos el comando, get vpn ssl monitor, se permitirá la conexión desde las IPs que no estén en la lista y se establecerán las conexiones:

• Otra forma de limitar el acceso, es irse a la Configuración de SSL_VPN > Restringir Acceso y Limitar acceso a hosts específicos, dónde configuro la restricción para el grupo de IPs públicas bloqueadas, aquí el problema es que la conexión no se rechaza en una primera instancia, es decir, nos va a dejar introducir las credenciales y una vez introducidas bloquea la conexión, con el método visto anteriormente por consola, la conexión se rechaza desde primera hora:

• Sobre este post realizado por mi compañero Héctor Herrero del blog Bujarra, podemos aplicar las listas dinámicas que nos está indicando sobre la configuración de la VPN, quedando de esta manera:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo configurar una VPN site to site IPSEC entre un Fortigate on-premise y un OPNSense en Azure.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a realizar será acceder a nuestro Fortigate on-premise, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el primer extremo de la VPN:

• En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

• En la parte de Red configuramos la IP estática que tenemos asignada al OPNSense de Azure y la interface de salida:

• En Autenticación le indicamos la Key compartida:

• Configuramos la fase 1:

• Configuramos la fase2:

• Como podemos ver, ya tenemos el primer extremo de la VPN configurado, el de la parte on-premise:

• Ahora vamos a crear las políticas:

• Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

• Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

• Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

• Aquí podemos ver las políticas creadas:

• Ahora creamos la ruta estática hacia Azure:

• Lo segundo que vamos a realizar será acceder a nuestro OPNSense en Azure, y sobre Firewall > WAN > +, nos crearemos tres reglas de firewall para permitir el tráfico IPSEC a la interfaz WAN:

• Regla para IPSec ESP:

• Regla para IPSec ISAKMP puerto 500:

• Regla para IPSec NAT-T puerto 4500:

• Como podemos ver aquí tenemos las tres reglas creadas en la interface WAN:

• Ahora vamos a configurar la fase 1 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:

• Como podemos ver, ya tenemos la fase 1 creada, habilitamos IPSec y aplicamos los cambios:

• Ahora vamos a configurar la fase 2 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:

• Aplicamos los cambios:

• Como podemos ver, ya tenemos la fase 2 de la VPN site to site configurada:

• Para terminar, vamos a crear dos políticas, una de entrada y otra de salida para comunicar las dos subredes que tenemos, una en Azure y otra On-premise, para ello, accedemos a Firewall > Rules > IPSec > +:

• Regla de entrada:

• Regla de salida:

• Aquí vemos las dos reglas creadas:

• A continuación, sobre Firewall > Rules > LAN vamos a crear esta regla para permitir el tráfico entre la subred de Azure y la subred on-premise:

• Como podemos ver, ya tenemos el túnel IPSEC levantado.
• Fortigate On-premise:

• OPNSense Azure:

• Para verificar que todo funciona correctamente vamos a realizar un ping desde una máquina on-premise a una máquina en Azure y viceversa:

Saludos y espero que os sea de ayuda

En estos posts vamos a ver cómo desplegar y configurar un firewall OPNSense en Azure.

La topología que vamos a utilizar será esta:

Este post lo vamos a dividir en:

• Despliegue Firewall OPNSense en Azure
• Desplegar y configurar tabla de rutas UDR en Azure
• Configuración inicial y avanzada OPNSense
• Configurar Categorías y Alias
• VPN site to site IPSEC entre Fortigate on-premise y OPNSense Azure
• Configurar servidor LDAP en OPNSense
• Acceso administración Web y SSH OPNSense

Saludos.

En este post vamos a ver cómo configurar una VPN site to site IPSEC entre Fortigate on-premise y Fortigate Azure.

La topología que vamos a utilizar será esta:

• Lo primero que vamos a realizar será acceder a nuestro Fortigate on-premise, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el primer extremo de la VPN:

• En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

• En la parte de Red configuramos la IP estática que tenemos asignada al Fortigate de Azure y la interface de salida:

• En Autenticación le indicamos la Key compartida:

• Configuramos la fase 1:

• Configuramos la fase2:

• Como podemos ver ya tenemos el primer extremo de la VPN configurado, el de la parte on-premise:

• Ahora vamos a crear las políticas:

• Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

• Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

• Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

• Aquí podemos ver las políticas creadas:

• Ahora creamos la ruta estática hacia Azure:

• Lo segundo que vamos a realizar será acceder a nuestro Fortigate en Azure, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el segundo extremo de la VPN:

• En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

• En la parte de Red configuramos la IP estática que tenemos asignada al Fortigate on-premise y la interface de salida:

• En Autenticación le indicamos la Key compartida:

• Configuramos la fase 1:

• Configuramos la fase2:

• Como podemos ver ya tenemos el segundo extremo de la VPN configurado, el de la parte de Azure:

• Ahora vamos a crear las políticas:

• Accedemos a Políticas y objetos> Firewall Policy> Crear nuevo:

• Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

• Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

• Aquí podemos ver las políticas creadas:

• Ahora creamos la ruta estática hacia nuestro entorno on-premise:

• Como podemos ver, ya tenemos el túnel IPSEC levantado:

• Para verificar que todo funciona correctamente vamos a realizar un ping desde una máquina on-premise a una máquina en Azure y viceversa:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo desplegar y configurar una tabla de rutas en Azure.

La topología que vamos a utilizar será esta:

• Accedemos al Marketplace, buscamos Route table y damos a crear:

• Sobre Básico le indicamos el grupo de recursos, la región, le damos un nombre y le indicamos que propague las rutas de puerta de enlace:

• Sobre Etiquetas podemos configurar las que nos interesen:

• Sobre Revisar y crear nos muestra un resumen sobre todo lo que le hemos configurado a la tabla de rutas:

• Como podemos ver, comienza a implementar la tabla de rutas:

• Aquí vemos que se ha implementado correctamente:

• Accedemos al recurso y sobre subredes vamos a asociar la subred LAN que configuramos anteriormente, esta subred es dónde vamos a ubicar las máquinas virtuales de nuestra infraestructura en Azure:

• Como podemos ver, ya la tenemos asociada:

• Ahora vamos a configurar las rutas, para ello, accedemos a Rutas a Agregar:

• La primera ruta que vamos a agregar, será la ruta por defecto:

• La siguiente ruta será para el acceso a la subred dónde vamos a ubicar nuestras máquinas virtuales:

• Aquí vemos las rutas agregadas:

• Una vez configurada la tabla de rutas, accedemos a nuestro Fortigate en Azure, y nos vamos a crear estas tres rutas estáticas, la primera es la ruta por defecto, para que todo lo que no se encuentre en la tabla de enrutamiento del Forti lo envíe por la interface WAN al gateway de la subred external, la segunda ruta es para que todo lo configurado en el espacio de direcciones de la red virtual lo envíe por la interface LAN al gateway de la subred internal, y la tercera ruta son para servicios internos de Azure para que lo envíe por la interface LAN al gateway de la subred internal:

Saludos y espero que os sea de ayuda

En este post vamos a ver cómo desplegar un firewall Fortigate en Azure a través del Marketplace.

La topología que vamos a utilizar será esta:

• Accedemos al Marketplace, buscamos por fortigate y seleccionamos la opción Fortinet FortiGate Next-Generation Firewall > Crear > Single VM:

• En el despliegue del firewall sobre Básico le indicamos el grupo de recursos, la región, las credenciales de usuario, el prefijo del nombre, tipo de licencia y la versión de la imagen del Fortigate:

• Sobre Instance le indicamos el tamaño de máquina, le adjuntamos la licencia y le indicamos el nombre:

• Sobre Networking le indicamos la red virtual que vamos a utilizar y las subredes del firewall que ya configuramos en un post anterior:

• Sobre Public IP configuramos una IP pública básica y estática:

• Sobre Advanced no tocamos nada ya que no tenemos configurado FortiManager:

• Nos muestra un resumen de todas las configuraciones realizadas, comenzamos a crear la máquina:

• Como podemos ver, comienza el despliegue:

• Aquí vemos que ya ha terminado y se ha implementado correctamente:

• Ahora accedemos al grupo de recursos y clicamos sobre la máquina virtual:

• En la máquina virtual accedemos a Redes y cómo podemos ver tenemos dos interfaces de red, una es la interface WAN del Fortigate que tiene una IP privada y otra pública, y la otra es la interface LAN que solo tiene una IP privada:

• Para acceder al firewall accedemos a través de su IP pública:

• Le aplicamos un alias a sus interfaces como WAN y LAN:

• Y así nos quedaría:

• También configuramos el acceso a nuestro Fortigate para que lo haga a través del puerto 30443:

• Como podemos ver, ahora tenemos que acceder a través del puerto configurado:

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo desplegar y configurar una red virtual en Azure para firewall Fortigate.

La topología que vamos a utilizar será esta:

• Empezaremos con el despliegue y la configuración de la red virtual en Azure, para ello, vamos a seleccionar un espacio de direcciones en la red virtual, y le configuraremos las distintas subredes que va a utilizar el firewall y la que utilizaremos como la red local de Azure dónde se conectarán nuestras máquinas virtuales:
• Red virtual: rgs-firewall-vnet 192.168.128.0/18
• Subred Externa: ExternalSubnetFortigate 192.168.191.0/27
• Subred Interna: InternalSubnetFortigate 192.168.191.32/27
• Subred Protected: ProtectedSubnetFortigate 192.168.191.64/27
• LAN Azure: Subvnet_rgs_192.168.130.0-24_LAN 192.168.130.0/24

• Todos los recursos creados los vamos a ubicar dentro de este grupo de recursos:

• Nos creamos la red virtual, dónde en Datos básicos le indicamos, el grupo de recursos y el nombre:

• En Seguridad lo dejamos por defecto:

• En Direcciones IP configuramos el espacio de direcciones y las subredes que vamos a utilizar:

• Sobre Etiquetas podemos configurar las que nos interesen:

• Sobre Revisar y crear nos muestra un resumen sobre todo lo que le hemos configurado a la red virtual:

• Como podemos ver, el recurso de red virtual se ha creado correctamente, podemos ir al recurso:

• Dónde podemos ver el Espacio de direcciones configurado y las Subredes que vamos a utilizar para desplegar el firewall Fortigate y para ubicar nuestras máquinas virtuales:

Saludos y espero que os sea de ayuda

En estos posts vamos a ver cómo desplegar y configurar un firewall Fortigate en Azure.

La topología que vamos a utilizar será esta:

Este post lo vamos a dividir en:

• Despliegue y configuración red virtual en Azure para Firewall Fortigate
• Despliegue Firewall Fortigate en Azure desde Marketplace
• Desplegar y configurar tabla de rutas en Azure
• VPN site to site IPSEC entre Fortigate on-premise y Fortigate Azure

Saludos y espero que os resulte de ayuda

En este post vamos a ver cómo crear la conexión VPN Site to Site en Azure entre la puerta de enlace de la red virtual y el dispositivo VPN local.

• Accedemos a Conexiones > Crear:

• En Datos básicos, configuramos:
  • Nombre: asignamos un nombre a la conexión.
  • Tipo de conexión: Seleccionamos Sitio a sitio (IPSec).

• En Opciones, configuramos:

• • Puerta de enlace de red virtual, el valor es fijo porque se conecta desde esta puerta de enlace.
  • Puerta de enlace de red local, seleccionamos elegir una puerta de enlace de red local y seleccionamos la puerta de enlace de red local que queremos utilizar.
  • Clave compartida (PSK), este valor debe ser el mismo que el que usa para el dispositivo VPN local.
  • Seleccionamos IKEv2.
  • Dejamos la casilla Usar la dirección IP privada de Azure desactivada.
  • Dejamos la casilla Habilitar BGP desactivada.

• Sobre Etiquetas las podemos configurar ahora o a posteriori, en mi caso, no vamos a configurar ninguna en este momento, ya dedicaremos un post a las Etiquetas, que como veremos pueden ser muy útiles, clic en Siguiente:

• Aquí nos muestra un resumen de las configuraciones y que la validación ha sido superada, clic sobre Crear:

• Podemos ver que la implementación se ha completado correctamente:

• Si nos vamos a Conexiones, podemos ver que ya la tenemos creada y que está conectado:

• Si accedemos a la Conexión, tendremos las distintas opciones para poder configurarla y administrarla, el Estado lo muestra como Conectado:

• Si accedemos a nuestro dispositivo de VPN local (Fortigate), podemos ver que el túnel IPsec está establecido:

• Si accedemos a VPN Location Map en nuestro Fortigate, podemos ver el túnel IPsec establecido entre mi infraestructura on-premise y el Datacenter Oeste de Europa de Azure:

• Ahora si hacemos un ping desde cualquier equipo de nuestra red LAN on-premise hacia una IP operativa de Azure, podemos ver, que tenemos conexión, esta IP es una de las que Azure se reserva para la Subred de puerta de enlace:

Saludos y espero que os resulte de ayuda

En este post vamos a ver como configurar una VPN Site to Site en un dispositivo Fortigate.

• En nuestro Fortigate nos vamos a VPN > Asistente IPsec > Personalizar, le indicamos un nombre y siguiente:

• Configuramos los ajustes de red:

• Para Puerta de enlace remota, seleccionamos Dirección IP estática e ingresamos la dirección IP proporcionada por Azure.
• Para Interfaz, seleccionamos wan1
• Para NAT Traversal, seleccionamos Desactivar
• Para Dead Peer Detection (Detección de punto remoto inalcanzable), seleccionamos On Idle (Ocioso)

• Configuramos los ajustes de autenticación:
• En Método, seleccionamos Llave Compartida e ingresamos la Clave.
• Para IKE, seleccionamos la versión 2.

• Configuramos los ajustes de la propuesta de fase 1 .

• Establezcemos la combinación de cifrado y autenticación en las tres combinaciones de algoritmos de cifrado admitidas aceptadas por Azure.
  • AES256 y SHA1
  • 3DES y SHA1
  • AES256 y SHA256
• Para Grupos Diffie-Hellman, seleccionamos 2.
• Establezcemos el Key Lifetime (segundos) en 28800.

• En Selectores de Fase 2, expanda la sección Avanzado para configurar los ajustes de Propuesta de Fase 2.
• Configuramos las combinaciones de cifrado y autenticación:

• • AES256 y SHA1
  • 3DES y SHA1
  • AES256 y SHA256

• Desmarcamos Habilitar Perfect Forward Secrecy (PFS).
• Establezcemos el Key Lifetime (segundos)en 27000.
• Clic a OK.

• Como podemos ver, aquí tenemos el Túnel IPsec creado:

• Ahora vamos a crear el objeto direcciones con el espacio de direcciones que tenemos configurado en la Red Virtual de Azure, para ello, accedemos a Políticas y Objetos > Dirección > Crear nuevo > Dirección:

• Le indicamos un nombre, la subred y la interface:

• Como podemos ver ya tenemos el objeto dirección creado:

• Ahora vamos a crear las políticas:

• Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

• Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

• Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

• Aquí podemos ver las políticas creadas:

• Ahora vamos a limitar el tamaño máximo de segmento de TCP (MSS) que se envía y recibe para evitar la caída y la fragmentación de paquetes, para hacer esto, usaremos los siguientes comandos CLI en ambas políticas:

config firewall policy

   edit <policy-id>

      set tcp-mss-sender 1350

      set tcp-mss-receiver 1350

   next

end

• Para terminar, vamos a crear una ruta estática que obligue al tráfico saliente que va a Azure, a pasar por el túnel basado en rutas, para ello accedemos a Red > Ruta Estática > Crear nuevo:

• Con esto, hemos terminado de configurar la VPN en nuestro dispositivo Fortigate, ahora nos quedaría configurar la conexión en Azure.

Saludos y espero que os sea de ayuda

En este post vamos a ver como desplegar y configurar una VPN Site to Site entre nuestra infraestructura montada en Azure y nuestro entorno on-premise, este post lo vamos a dividir en tres partes:

• Configuración VPN Site to Site en Azure

• Configuración VPN Site to Site en dispositivo Fortigate

• Creación de la conexión VPN Site to Site en Azure

En las próximas semanas iremos subiendo estos tres post.

Saludos y espero que os sea de ayuda

En este post vamos a ver como configurar las interfaces virtuales para administración en un cluster HA con dispositivos Fortigate, en un post anterior vimos como configurar interfaces dedicadas de management utilizando un puerto físico del dispositivo, en muchas ocasiones, podemos encontrarnos con dispositivos Fortigates con pocas interfaces físicas, y si queremos un puerto dedicado para administración, entonces lo mejor es configurar estas interfaces virtuales, utilizando un puerto físico que ya tenemos en uso.

• Lo primero que tenemos que hacer es acceder a System > HA > Fortigate Primario > Editar y verificar que Management Interface Reservation está deshabilitado en nuestro cluster:

• Para configurar las interfaces virtuales debemos de acceder por consola:

• Ejecutamos el comando system config interface y editamos el puerto 10 con edit port10:

• Le hacemos un get y cómo podemos ver tenemos la opción de configurar el management-ip, esta IP virtual no se va a sincronizar entre los dispositivos del cluster:

• Ahora con el comando set management-ip 192.168.14.225 255.255.255.0 le vamos a asignar al dispositivo con el rol primario del cluster, una dirección IP virtual que utilizaremos para la gestión y administración del dispositivo:

• Si le hacemos un get podemos ver que ya tiene la IP virtual configurada:

• Con end salimos y guardamos los cambios:

• Ahora ya podemos acceder a través de la IP de management virtual sobre el Fortigate01:

• Ahora vamos a configurar la interface de management virtual del Fortigate que tiene el rol de secundario, para ello nos abrimos una consola CLI y ejecutamos el comando execute ha manage 0 admin para acceder al dispositivo con el rol de secundario:

• Ejecutamos el comando system config interface y editamos el puerto 10 con edit port10:

• Le hacemos un get y cómo podemos ver tenemos la opción de configurar el management-ip, esta IP virtual no se va a sincronizar entre los dispositivos del cluster:

• Ahora con el comando set management-ip 192.168.14.226 255.255.255.0 le vamos a asignar al dispositivo con el rol secundario del cluster, una dirección IP virtual que utilizaremos para la gestión y administración del dispositivo:

• Si le hacemos un get podemos ver que ya tiene la IP virtual configurada:

• Con end salimos y guardamos los cambios:

• Ahora ya podemos acceder a través de la IP de management virtual sobre el Fortigate02:

Saludos y espero que os sea de ayuda

En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta Disponibilidad) en modo Activo-Activo:

• Vamos a utilizar dos Interfaces de cada dispositivo para HA para vincularlos y sincronizarlos.
• En HA uno de los Fortigate estará como primario y éste sincronizará su información con el otro Fortigate que será el secundario.
• El link para el HA entre los Fortigate, que en este caso usaremos dos (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y detección entre los equipos.
• Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.

En este segundo post vamos a ver el modo Activo-Activo, en este modo todos los dispositivos procesan tráfico, pero seguimos teniendo un dispositivo que actúa como primario y otro como secundario, el dispositivo primario se encarga de distribuir todas las sesiones en el cluster, pero si el primario cae, entonces el secundario pasaría a tener el rol de primario.

Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall FortiGates:

• Dos Fortigates del mismo modelo
• Misma versión de FortiOS en ambos equipos
• Mismas licencias
• Un link entre los equipos que componen el cluster HA, en este caso vamos a utilizar dos
• Las mismas interfaces deben de estar conectadas al mismo dominio de broadcast, es decir, los puertos usados deben de ser los mismos en ambos dispositivos y conectados en el mismo segmento de red.

• Para empezar con la configuración de nuestro cluster HA Activo-Activo, vamos a realizar las configuraciones básicas sobre uno de nuestros Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las configuraciones de fábrica, en este link podemos ver la configuración inicial y puesta en marcha.
• Aquí vemos como tenemos configurado el hostname y las interfaces de red del primer Fortigate (LAN y WAN):

• Del segundo Fortigate, está tal y como viene de fábrica:

• Lo primero que vamos a realizar es configurar sobre el Fortigate01 el nombre de las interfaces de red que van a participar en el cluster HA, se llaman interfaces de Heartbeat y se utilizan para la sincronización y detección entre los equipos, utilizaremos los puertos 4 y 5:

• Ahora sobre System > HA > seleccionamos el modo que nos interese, en este caso Active-Active:

• Sobre High Availability le indicamos el modo y la prioridad, sobre Cluster Settings le damos un nombre al cluster, le asignamos un password, habilitamos Session pickup para que automáticamente se pasen las sesiones de un Fortigate a otro y así los clientes no tengan que volver a reconectarse, el Monitor interfaces lo vamos a habilitar más adelante y explicaremos de que se trata y sobre Heartbeat Interfaces vamos a configurar las interfaces que van a participar en el cluster HA, sobre Heartbeat Interface Priority vamos a configurar las prioridades de las interfaces de Heartbeat, que en este caso el port4 va a tener prioridad sobre el port5:

• Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5 con un corazón indicando que son los puertos de Heartbeat para el cluster:

• Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas, ahora debemos de configurar el Fortigate02, y como el nombre del host no se sincroniza, es lo primero que tenemos que configurar, en System > Settings:

• Ahora sobre System > HA realizamos las mismas configuraciones que hemos hecho sobre el Fortigate01, excepto que en la prioridad del dispositivo la vamos a bajar a 100, clic sobre OK:

• Como podemos ver, perdemos conexión con nuestro Fortigate02, ya que la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos dos dispositivos es como si fuesen uno solo y los dos van a tener las mismas configuraciones:

• Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya tenemos el segundo dispositivo unido al cluster, aunque todavía está sincronizando, esto nos lo muestra muy claro el checksum, que como podemos observar, son números diferentes, ya que al no estar sincronizados todavía cada dispositivo tiene una configuración:

• Pasados unos minutos, ya podemos ver que los dos dispositivos están sincronizados, el checksum es el mismo, como también podemos ver, el Fortigate01 está actuando como primario y el Fortigate02 como secundario:

• Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a habilitar el siguiente panel, nos vamos a Dashboard y añadir:

• Añadimos el Widget HA Status:

• Como podemos ver, de un solo vistazo podemos ver el estado del cluster HA:

• Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si el Fortigate02 coge el control como primario, y como podemos ver, todo funciona correctamente sin pérdida de servicio y el que estaba antes como secundario pasa a ser primario:

• Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol de secundario, ya que el Uptime del Fortigate02 es mayor que el del Fortigate01:

• Si queremos que el Fortigate01 vuelva a coger el rol de primario, debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que hace este comando es resetear el Uptime del dispositivo, en este caso del Fortigate02:

• Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

• Ahora, vamos a configurar el Monitor interfaces en el cluster HA, esto significa, que la interface que vamos a monitorizar, si pierde conexión con el Firewall primario, automáticamente éste Firewall pasará a ser el secundario, tomando el otro Firewall el control, por lo tanto, vamos a configurar como Monitor interface, nuestra LAN:

• Para terminar, vamos a ver como configurar las interfaces de management de cada Fortigate, ya que siempre que accedemos lo estamos haciendo sobre el dispositivo que tiene el rol de primario, estas interfaces de management nos van a permitir acceder a cada dispositivo por separado, para ello, accedemos a System > HA seleccionamos el Fortigate con el rol de primario y Edit:

• Habilitamos Management Interface Reservation, le indicamos el puerto, el gateway y la subred, al habilitar esta opción le estamos indicando al cluster que vamso a usar el puerto 9 de cada Fortigate para management y por lo tanto las configuraciones en este puerto no se van a sincronizar entre los dispositivos pertenecientes al cluster:

• Una vez habilitado el puerto de management en el cluster (puerto9), vamos a configurar este puerto sobre el Fortigate con el rol de primario, para ello, accedemos a Network > Interfaces > port9 > Edit:

• Le indicamos un Alias, le asignamos el direccionamiento IP correspondiente, habilitamos los accesos y OK:

• Como podemos ver ya tenemos configurado el puerto de management sobre el Fortigate primario:

• Ahora ya podemos acceder a través de la IP de management sobre el Fortigate01:

• Ahora vamos a configurar la interface de management del Fortigate que tiene el rol de secundario, para ello desde la consola web nos abrimos una consola CLI:

• Ejecutamos el comando execute ha manage ? y cómo podemos ver nos indica que el dispositivo 0 es el secundario:

• Por lo tanto, para acceder al Fortigate secundario debemos de ejecutar el comando execute ha manage 0 admin el admin es el usuario que tenemos dado de alta en nuestro Fortigate secundario con permisos administrativos, y cómo podemos ver ya estamos dentro del Fortigate secundario (FORTIGATE02):

• Ahora ya le podemos asignar el direccionamiento IP al puerto que configuramos para management (puerto9), con el comando config system interface accedemos al modo de configuración de interface, con edit port9 accedemos a la configuración del puerto 9, con set ip 192.168.99.221 255.255.255.0 le asignamos el direccionamiento IP, con set allowaccess ping https http ssh fgfm le habilitamos los accesos y con end salimos de las configuraciones:

• Con el comando show system interface podemos ver las configuraciones realizadas:

• Ahora ya podemos acceder a través de la IP de management sobre el Fortigate02, y cómo podemos ver ya tenemos el puerto de management configurado (puerto9):

Saludos y espero que os resulte de ayuda

En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta Disponibilidad) en modo Activo-Pasivo:

• Vamos a utilizar dos Interfaces de cada dispositivo para HA para vincularlos y sincronizarlos.
• En HA uno de los Fortigate estará como primario y éste sincronizará su información con el otro Fortigate que será el secundario.
• El link para el HA entre los Fortigate, que en este caso usaremos dos (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y detección entre los equipos.
• Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.

En este primer post vamos a ver el modo Activo-Pasivo, en este modo solo el dispositivo primario procesa el tráfico, el otro dispositivo está en modo de espera y sólo entrará a funcionar en caso de caída del primario, toda la configuración realizada en el dispositivo primario se sincronizará con el dispositivo secundario.

Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall FortiGates:

• Dos Fortigates del mismo modelo
• Misma versión de FortiOS en ambos equipos
• Mismas licencias
• Un link entre los equipos que componen el cluster HA, en este caso vamos a utilizar dos
• Las mismas interfaces deben de estar conectadas al mismo dominio de broadcast, es decir, los puertos usados deben de ser los mismos en ambos dispositivos y conectados en el mismo segmento de red.

• Para empezar con la configuración de nuestro cluster HA Activo-Pasivo, vamos a realizar las configuraciones básicas sobre uno de nuestros Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las configuraciones de fábrica, en este link podemos ver la configuración inicial y puesta en marcha.
• Aquí vemos como tenemos configurado el hostname y las interfaces de red del primer Fortigate (LAN y WAN):

• Del segundo Fortigate, está tal y como viene de fábrica:

• Lo primero que vamos a realizar es configurar sobre el Fortigate01 el nombre de las interfaces de red que van a participar en el cluster HA, se llaman interfaces de Heartbeat y se utilizan para la sincronización y detección entre los equipos, utilizaremos los puertos 4 y 5:

• Ahora sobre System > HA > seleccionamos el modo que nos interese, en este caso Active-Passive:

• Sobre High Availability le indicamos el modo y la prioridad, sobre Cluster Settings le damos un nombre al cluster, le asignamos un password, habilitamos Session pickup para que automáticamente se pasen las sesiones de un Fortigate a otro y así los clientes no tengan que volver a reconectarse, el Monitor interfaces lo vamos a habilitar más adelante y explicaremos de que se trata y sobre Heartbeat Interfaces vamos a configurar las interfaces que van a participar en el cluster HA, sobre Heartbeat Interface Priority vamos a configurar las prioridades de las interfaces de Heartbeat, que en este caso el port4 va a tener prioridad sobre el port5:

• Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5 con un corazón indicando que son los puertos de Heartbeat para el cluster:

• Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas, ahora debemos de configurar el Fortigate02, y como el nombre del host no se sincroniza, es lo primero que tenemos que configurar, en System > Settings:

• Ahora sobre System > HA realizamos las mismas configuraciones que hemos hecho sobre el Fortigate01, excepto que en la prioridad del dispositivo la vamos a bajar a 100, clic sobre OK:

• Como podemos ver perdemos conexión con nuestro Fortigate02, ya que la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos dos dispositivos es como si fuesen uno solo y los dos van a tener las mismas configuraciones:

• Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya tenemos el segundo dispositivo unido al cluster, aunque todavía está sincronizando, esto nos lo muestra muy claro el checksum, que como podemos observar son números diferentes, ya que al no estar sincronizados todavía cada dispositivo tiene una configuración:

• Pasados unos minutos, ya podemos ver que los dos dispositivos están sincronizados, el checksum es el mismo, como también podemos ver, el Fortigate01 está actuando como primario y el Fortigate02 como secundario:

• Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a habilitar el siguiente panel, nos vamos a Dashboard y añadir:

• Añadimos el Widget HA Status:

• Como podemos ver, de un solo vistazo podemos ver el estado del cluster HA:

• Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si el Fortigate02 coge el control como primario, y como podemos ver, todo funciona correctamente sin pérdida de servicio y el que estaba antes como secundario pasa a ser primario:

• Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol de secundario, ya que el Uptime del Fortigate02 es mayor que el del Fortigate01:

• Si queremos que el Fortigate01 vuelva a coger el rol de primario, debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que hace este comando es resetear el Uptime del dispositivo, en este caso del Fortigate02:

• Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

• Para terminar, vamos a configurar el Monitor interfaces en el cluster HA, esto significa, que la interface que vamos a monitorizar, si pierde conexión con el Firewall primario, automáticamente éste Firewall pasará a ser el secundario, tomando el otro Firewall el control, por lo tanto, vamos a configurar como Monitor interface, nuestra LAN:

Saludos y espero que os sea de ayuda

En este post vamos a ver como autenticarnos a una VPN SSL con un segundo factor de autenticación usando una cuenta de correo electrónico.

• Accedemos a nuestro firewall Fortigate, y nos situamos sobre Usuario y Dispositivo > Definición de Usuario, como podemos ver tenemos el usuario local joseramon.ramos, si lo editamos vemos que pertenece al grupo que tiene acceso a la VPN SSL:

• Vamos a realizar una prueba de conexión a la VPN SSL, para verificar que este usuario puede acceder:

• Si accedemos a Monitor > Monitor SSL-VPN, podemos ver que el usuario está conectado:

• Para configurar el segundo factor de autenticación por correo electrónico, lo primero que tenemos que hacer es configurar el servicio SMTP en nuestro Fortigate, para ello, accedemos a Sistema > Configuración > Email Service y configuramos nuestro servidor SMTP:

• Si accedemos a la CLI y ejecutamos el comando config system email-server, también lo podemos configurar desde aquí, con get obtenemos la configuración realizada:

• La otra configuración que tenemos que realizar para aplicar el segundo factor de autenticación a nuestros usuarios vpn es configurar un Fortitoken por email, pero como podemos ver, a través de la interfaz gráfica es imposible, ya que solo nos da las opciones de FortiToken Mobile y FortiToken Cloud, ambas opciones de pago, si lo configuramos por email no debemos de adquirir ninguna licencia:

• Pues bien, si accedemos, a la CLI podemos configurar el segundo factor de autenticación por correo electrónico, ejecutamos el comando config user local para acceder al modo de configuración de usuarios locales y ejecutando show nos mostrará la información de todos nuestros usuarios:

• Editamos el usuario al que le vamos a configurar el segundo factor de autenticación por email, edit usuario y con get vemos toda la información:

• Si ejecutamos el comando set two-factor y pulsamos la tecla ?, podemos ver las opciones de configuración del segundo factor de autenticación, mucho más completa que con la interfaz gráfica, ya que nos aparece la opción de poder configurar este segundo factor de autenticación por email:

• Con el comando set two-factor email habilitamos el segundo factor de autenticación vía correo electrónico:

• Ejecutando set email-to cuenta de email, le añadimos la cuenta de correo del usuario que será donde se reciban los token para autenticarse contra la VPN SSL:

• Si hacemos un get podemos ver que ya tenemos habilitado el segundo factor de autenticación por correo electrónico:

• Ejecutamos end para finalizar y que se guarden los cambios:

• Si accedemos a la interfaz gráfica ya podemos ver las configuraciones que hemos realizado:

• Ahora vamos a probar el acceso a nuestra VPN SSL con el usuario al que le hemos configurado el segundo factor de autenticación por email, para verificar que todo funciona correctamente, aquí vemos con nos pide el token que se ha enviado por mail:

• Aquí vemos el token recibido por email:

• Lo introducimos en nuestro Forticlient y Aceptamos:

• Como podemos ver ya estamos conectados a la VPN SSL con el segundo factor de autenticación por mail:

Saludos y espero que os resulte de ayuda

En este post vamos a ver como asignar perfiles de Endpoints a Grupos de equipos de Active Directory.

• El primer perfil se lo vamos a asignar a los controladores de dominio, para ello, accedemos a Endpoints > Domains > Midominio > Domain Controllers y le asignamos el perfil correspondiente:

• Le indicamos que Si:

• Como podemos ver, el instalador de Forticlient, está pendiente de ser desplegado sobre uno de nuestros controladores de dominio:

• Aquí vemos que Forticlient se ha desplegado correctamente sobre nuestro controlador de dominio:

• El segundo perfil se lo vamos a asignar a los servidores, para ello, accedemos a Endpoints > Domains > Midominio > Servidores y le asignamos el perfil correspondiente:

• Le indicamos que Si:

• Aquí vemos que Forticlient se ha desplegado correctamente sobre nuestros servidores:

• Si accedemos al Dashboard > Forticlient Status podemos ver que tenemos ocupadas 7 de las 10 licencias de las que disponemos:

Saludos y espero que os resulte de ayuda