Configuración Fortigate – VPN IPSEC de Acceso Remoto

Hola a tod@s.

En este post vamos a ver como configurar una VPN IPSEC de acceso remoto en un firewall Fortigate, con este tipo de VPN usando el protocolo IPSec nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado.

• Lo primero que vamos a realizar será, crear los usuarios locales que accederán a través de la VPN:

• Para una correcta administración, los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

• Una vez creados los usuarios y grupos, vamos a crearnos el túnel IPSec, para ello, accedemos a VPN > Túneles Ipsec > Crear nuevo > IPsec Tunnel:

• Sobre Configuración de VPN, le indicamos un nombre y seleccionamos Acceso remoto, Siguiente:

• Sobre Autenticación, le indicamos la interface de entrada, el método de autenticación por llave compartida y el grupo de usuario, este grupo lo eliminaremos de la configuración de las fases más tarde, ya que las políticas de acceso irán configuradas con grupos y no sería necesario, Siguiente:

• Sobre Política y Enrutamiento, vamos a configurar esta política, que más tarde vamos a eliminar, ya que iremos aplicando políticas más granulares y restrictivas, habilitamos el Split Tunnel, esto hará que los usuarios que se conecten a la VPN, tengan la salida a Internet por su propia conexión y no por la nuestra, Siguiente:

• Sobre Opciones de cliente, le indicamos que guarde la contraseña, y habilitamos el Keep Alive, Crear:

• Aquí nos indica todo lo que hemos configurado, damos a Mostrar la lista de túnel:

• Vemos el túnel IPsec que nos ha creado, damos a Editar:

• Convertimos a túnel personalizado:

• Para la parte de Red, configuramos estos parámetros:

• Para la parte de Autenticación, configuramos lo siguiente:

• Para la propuesta de la fase 1, configuramos estos parámetros:

• Para XAUTH, aquí es donde quitamos el grupo que configuramos al crear el túnel, y para el Grupo de Usuarios, le indicamos que los herede de las políticas:

• Para los Selectores de fase 2, configuramos estos parámetros, damos a OK:

• Aquí tenemos ya el túnel IPsec configurado de modo personalizado:

• Antes de seguir, vamos a explicar, estos dos objetos que se han creado al crear la VPN IPsec.
• Uno de ellos es, ipsecra_range, este objeto es para asignar las direcciones IPs de los equipos que se conecten a nuestra VPN PIsec de acceso remoto:

• El otro es, ipsecra_split, este objeto es un grupo de direcciones que actúa como una «lista blanca» de destinos, su función principal es decirle al cliente VPN (FortiClient) qué tráfico debe enviar obligatoriamente a través del túnel y cuál debe ignorar para que salga por su conexión local a Internet.
• Cuando habilitamos el Split Tunneling (Túnel Dividido), el comportamiento es el siguiente:
• Si el destino está en el objeto ipsecra_split, el FortiClient enruta ese tráfico por la VPN.
• Si el destino NO está ahí, el FortiClient lo envía por la puerta de enlace predeterminada del usuario (su internet doméstico).

• También podemos ver, que en la interface de red que le indicamos al túnel VPN IPsec, nos ha creado esta interface virtual:

• Para terminar de configurar la VPN IPsec de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual, editamos la regla que se nos creó al crear el túnel IPsec:

• Con esto ya tendríamos configurada y operativa nuestra VPN IPsec de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPN IPsec para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante IPsec:

• Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

• Aquí vemos el túnel levantado:

• Desde el Monitor SSL-VPN de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

• Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuestra VPN IPsec de acceso remoto:

 

Saludos y espero que os resulte de ayuda 😉