2

Configuración Fortigate – VPN IPSEC de Acceso Remoto

Publicada en por Jose Ramon Ramos Gata

Hola a tod@s.

En este post vamos a ver como configurar una VPN IPSEC de acceso remoto en un firewall Fortigate, con este tipo de VPN usando el protocolo IPSec nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado.

  • Lo primero que vamos a realizar será, crear los usuarios locales que accederán a través de la VPN:

  • Para una correcta administración, los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

  • Una vez creados los usuarios y grupos, vamos a crearnos el túnel IPSec, para ello, accedemos a VPN > Túneles Ipsec > Crear nuevo > IPsec Tunnel:

  • Sobre Configuración de VPN, le indicamos un nombre y seleccionamos Acceso remoto, Siguiente:

  • Sobre Autenticación, le indicamos la interface de entrada, el método de autenticación por llave compartida y el grupo de usuario, este grupo lo eliminaremos de la configuración de las fases más tarde, ya que las políticas de acceso irán configuradas con grupos y no sería necesario, Siguiente:

  • Sobre Política y Enrutamiento, vamos a configurar esta política, que más tarde vamos a eliminar, ya que iremos aplicando políticas más granulares y restrictivas, habilitamos el Split Tunnel, esto hará que los usuarios que se conecten a la VPN, tengan la salida a Internet por su propia conexión y no por la nuestra, Siguiente:

  • Sobre Opciones de cliente, le indicamos que guarde la contraseña, y habilitamos el Keep Alive, Crear:

  • Aquí nos indica todo lo que hemos configurado, damos a Mostrar la lista de túnel:

  • Vemos el túnel IPsec que nos ha creado, damos a Editar:

  • Convertimos a túnel personalizado:

  • Para la parte de Red, configuramos estos parámetros:

  • Para la parte de Autenticación, configuramos lo siguiente:

  • Para la propuesta de la fase 1, configuramos estos parámetros:

  • Para XAUTH, aquí es donde quitamos el grupo que configuramos al crear el túnel, y para el Grupo de Usuarios, le indicamos que los herede de las políticas:

  • Para los Selectores de fase 2, configuramos estos parámetros, damos a OK:

  • Aquí tenemos ya el túnel IPsec configurado de modo personalizado:

  • Antes de seguir, vamos a explicar, estos dos objetos que se han creado al crear la VPN IPsec.
  • Uno de ellos es, ipsecra_range, este objeto es para asignar las direcciones IPs de los equipos que se conecten a nuestra VPN PIsec de acceso remoto:

  • El otro es, ipsecra_split, este objeto es un grupo de direcciones que actúa como una «lista blanca» de destinos, su función principal es decirle al cliente VPN (FortiClient) qué tráfico debe enviar obligatoriamente a través del túnel y cuál debe ignorar para que salga por su conexión local a Internet.
  • Cuando habilitamos el Split Tunneling (Túnel Dividido), el comportamiento es el siguiente:
  • Si el destino está en el objeto ipsecra_split, el FortiClient enruta ese tráfico por la VPN.
  • Si el destino NO está ahí, el FortiClient lo envía por la puerta de enlace predeterminada del usuario (su internet doméstico).

  • También podemos ver, que en la interface de red que le indicamos al túnel VPN IPsec, nos ha creado esta interface virtual:

  • Para terminar de configurar la VPN IPsec de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual, editamos la regla que se nos creó al crear el túnel IPsec:

  • Con esto ya tendríamos configurada y operativa nuestra VPN IPsec de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPN IPsec para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante IPsec:

  • Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

  • Aquí vemos el túnel levantado:

  • Desde el Monitor IPsec de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

  • Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuestra VPN IPsec de acceso remoto:

 

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

More Posts

2 comentarios

  1. Hola!, excelente guía de como configurar este tipo de VPN, ¿tienes pensado hacer algo similar para VPN site-to-site?, llevo una semana intentando hacer funcionar una pero no lo consigo.

    • Hola Marcos, gracias por leer el post, de vpn site to site, tienes varios post en el blog, tienes la opcion de buscar en el blog o en las etiquetas, saludos

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.