28

Configuración Fortigate – VPN SSL Acceso Remoto

Hola a tod@s.

En este post vamos a ver como configurar una VPN SSL de acceso remoto en un firewall Fortigate, concretamente con el modelo FG 50E, con este tipo de VPN usando SSL nos podemos conectar desde cualquier equipo con conexión a Internet hacia nuestra red interna, dónde todo el tráfico irá encriptado mediante SSL.

  • Lo primero que vamos a realizar será crearnos un objeto – dirección que incluirá todo el rango de direcciones IP que usaremos para los equipos que se conecten a través de esta VPN, para ello lo crearemos desde Políticas y Objetos > Dirección > Crear nuevo > Dirección:

  • Ahora nos vamos a crear los usuarios locales que accederán a través de la VPN:

  • Para una correcta administración los usuarios que nos hemos creado anteriormente los vamos a anidar en un grupo:

  • Una vez creados los usuarios y grupos, vamos a configurar los portales SSL-VPN, por defecto, vienen creados estos tres, nosotros vamos a editar el portal full-access:

  • Nos quedaría configurado de la siguiente manera:

  • Ahora configuramos la VPN-SSL, con los siguientes parámetros:

  • Para terminar de configurar la VPNSSL de acceso remoto, debemos de crear las reglas o políticas para que los equipos que se conecten a través de la VPN, tengan acceso a las redes internas configuradas en nuestro firewall, voy a mostrar sólo una de ellas ya que para las demás sería exactamente igual:

  • Como podemos ver aquí las tenemos todas creadas:

  • Como nuestra conexión a Internet se encuentra a través de un router FTTH haciendo las funciones de NAT, debemos mapear el puerto que hemos utilizado para la VPNSSL (10443) hacia nuestro Fortigate:

  • Con esto ya tendríamos configurada y operativa nuestra VPNSSL de acceso remoto, ahora desde cualquier equipo con conexión a internet, le instalaremos el Forticlient y configuraremos los parámetros de la VPNSSL para conectarnos desde cualquier lugar del mundo a las redes internas de nuestra infraestructura, dónde todo el tráfico irá encriptado mediante SSL:

  • Como podemos ver ya estamos conectados y nos está sirviendo una dirección IP del rango que habíamos configurado:

  • Desde el Monitor SSL-VPN de nuestro Fortigate podemos ver los usuarios conectados a través de la VPN:

  • Desde la opción VPN > VPN Location Map podemos ver desde que parte del mundo se están conectando los usuarios que hemos creado y configurado para nuetra VPNSSL de acceso remoto:

 

Saludos y espero que os resulte de ayuda 😉

jramos

Técnico Superior STI

28 comentarios

  1. muy buen artículo de información de , si puedes algún día , podrías comentar el realizar un enlace vpn ssl entre dos oficinas?, muchas gracias por informar sobre el mundo fortigate y un saludo

  2. Hola como estas, son muy buenos tus tutoriales, te hago una consulta tengo un fortigate D60, y quiero bloquear un IP publica para que no pueda acceder a mi ip, me podrias decir como se haria?, ya que lo que he realizado no ha surtido efecto.
    Desde ya muchas gracias Matias.

    • Tienes que crear en POLITICAS Y OBJETOS en direcciones un grupo como BLOQUEADO(ejemplo) despues si tienes la ip que quieres bloquear tienes que darla de alta en DIRECCIONES y dentro del grupo que creaste añades la misma.

      A continuacion creas una polita en donde como origen pongas el grupo de BLOQUEADO y en destino pon tu Red Interna, en Acciones pon Denegar.

      Espero te ayude amigo

  3. Me gusta mucho tu blog , tengo una duda y no conozco a nadie que lo hubiera hecho. Has hecho algun despliegue de fw fortigate en cluster ha en azure? Si alguna vez lo has hecho me gustaría saber tus impresiones yo te comento las mías.

    • Buenas Francisco, me alegro que te guste mi blog, con respecto a la pregunta que me haces, no lo he hecho nunca, pero si quieres escribir un artículo en el blog explicando como lo has hecho, me lo comentas y te doy permisos para escribir artículos.
      Saludos.

  4. Hola como estas, son muy buenos tus tutoriales, más adelante te ire haciendo más consultas para ir aclarando las duda en todo lo relacionado a Networking

  5. Buenos dias
    tengo una consulta cuantas conexiones soporta el forti en conexiones a la vez de forticlient

  6. Excelente tutorial. He seguido paso por paso y he podido conectar el cliente remoto, pero, no tengo acceso a la red local. Imagino en los DNS debo cambiar el 192.168.14.1 que pusiste por el equipo fortigate que tengo yo. ¿Alguna idea de por qué no puedo acceder a direcciones IP de la red local en el cliente remoto?

    • Tienes que poner los DNS que utilicéis en vuestra infrarstructura y crear las politicas para el acceso de los equipos que se conecten por von a la red local

  7. La GATEWAY dedonde la sacas amigo ya tengo todo hecho pero ahi tengo duda o por ello no puedo avanzar.

    Agradeceria tu ayuda.

    Saludos.

    • De igual forma amigo el nombre de la VPN como la consigo ya que en tu tutorial no hace mencion de ello ya al final tu pones vpn_ssl_ragasys no se de donde sale.
      buen dia.

  8. Hola, quería ver si me ayudabas.. no se como dar soporte remoto a usuarios que tienen VPN.

  9. Hola. muy buenos tutoriales. Felicidades. Tengo una pregunta: cómo puedo hacer para que los equipos de la red local tengan acceso a una carpeta de un cliente remoto?

  10. Hola. Excelente tutorial.
    Como debo hacer para yo minitorear a través de una herramienta de monitoreo las conexiones VPN sobre mi red local. Estoy intentando a través de snmp pero no logro hallar la interfaz de VPN a la que se refiere en la politica. Te agradezco cualquier ayuda.

  11. Estimados:
    He creado mi portal VPN y puedo loguerarme de manera correcta ala VPN ya sea por forticlient como asi tambien por portal web, tengo creadas las politcas pertines en el forti, por ejmplo como interfaz de entrada la ssl-root-ssl y como interfaz de salida mi LAN INSIDE, pero no me funciona ninguna politica, debo crear alguna ruta estatica? cabe destacar que en mi portal VPN tengo habilitado el SPLIT tunneling y publicadas mi redes internas.

  12. Hola! muy instructivo tu articulo. Una consulta que consideraciones o cambios habria que tener si entre medio del Fortinet y la red interna, hay un servidor actuando de firewall?. Muchas gracias

  13. Estimados, cuanto es el requisito mínimo de BW internet que necesita Forticlient?

  14. Buenos dias, me pasa lo siguiente con la vpn,me encontrado con el problema que los usuarios al conectarse con los equipos con el cliente Forticlient por SSL-VPN, en mi red de dominio me muestra la ip que asigna en mi caso 10.212.134.xxx, pero también muestra la ip que tiene la tarjeta de red del cliente de su casa.
    Ejemplo, el usuario con su portátil desde casa conectado a su wifi su router le asigna la 192.168.1.101, cuando el equipo se muestra en mi red una vez que ha conectado muestra al hacerle un ping al nombre del equipo como 192.168.1.101, y en otras ocasiones con la 10.212.134.100, si le haces un nslookup mi DNS, te da las 2 ip´s. Muchas gracias por la ayuda que me puedas ofrecerme, no se si esto es normal en Forti. El modelo es 61E, he probado con distintas versiones de cliente Forticlient. Al tener dos en HA, los he separado completamente con distintas ip´s publicas para hacer pruebas, y me esta pasando con FortiIOS 6.4.1 en uno de ellos y el otro esta esta versión 5.6.2, muchas gracias, un saludo

      • Nada, no ha habido manera y Fortinet indica que es así, la única solución es no registrar DNS en las tarjetas de red. Con esto desde la VPN solo muestra una IP el equipo. El problema es que cuando el equipo vuelve a la Oficina, no lo resuelve el DNS, como es lógico….solución, mantener la VPN conectada, solo para que sea visible por el DNS de tu dominio local. Es lo que hay. Si pagas las licencias de VPN-IPSEC para los usuarios este problema no existe, y puedes asignar ip fijas a equipos que se conectan si lo deseas. Si has averiguado algo mas por tu lado agradecería que lo comentaras. Un saludo

        • Hola Julio! Lo único que conseguí con el TAC de fortinet es que a partir de cierta versión de forticlient, me parece que es la 6.4, puedes modificar un registro para que solo registre el DNS del adaptar de red virtual de la VPN, pero finalmente sucede lo que indicas de cuando llegas a la oficina.
          Si encuentras algo, me avisas.
          Saludos

          • Buenas tardes, gracias por responder.
            Estoy 6.4.1, si tienes datos indícame donde puedo ver eso, y lo hecho un vistazo. Se que ya hay la 6.4.2, pero , no se si lo soluciona. Un saludo, quedo a la espera.

  15. Buenos días a todos!! antes de nada felicitarte por tu blog y lo bien que detallas todas las entradas.
    Mi consulta es la siguiente, tengo creados varias vpn para que varios proveedores se conecten a sus máquinas de mi empresa, lo que me interesa saber si es posible si con una sola validación en vpn es posible conectarse a distintos rangos de red simultáneamente , he probado a añadir a los usuarios de vpn a varios grupos pero solamente cuando conecta tiene acceso al primero de ellos.
    Gracias, saludos.

    • Si se pueden conectar a todas las reded que tu le definas en las Políticas.
      Me alegro que te guste el blog.
      Saludos

  16. Hola , te hago una pregunta , hay alguna configuracion para cuando me conecte a la vpn , me verifique mi pc si tienen todas las condiciones de seguridad, como antivirus actualizado , y otras cosas y depsues cuado este todo bien entrar a la vpn y trabajar remoto? muchas gracias

  17. Buenas, una consulta con este proceso tendria salida a internet por la vpn?

  18. Gracias por contestarne, la verdad la idea es que , si tiene algun virus la maquina, no tiene antivirus o lo tiene desactualizado, algun programa no original , esto haga que cuando me conecte a la vpn , osea cierra el candado no valla a pasar cualquier cosa a la empresa.Estamos hablando de maquinas perosnales , que no sabemos que tienen, y se conectan a una vpn para trabajar remoto a su pc del trabajo o algun sitio o servidor de la empresa.
    Muchas gracias

  19. Hola,

    gracias por el articulo. Tengo una duda, tengo un Fortigate que muchos usuarios utilizan para acceder a través de SSL. Ahora queremos limitar el acceso de uno de estos usuarios a una IP origen. Sabes si esto es posible? Sé que desde la configuración genérica del servicio SSL puedo limitar las conexiones a determinados host origen, pero no se como limitarlo sólo para un usuario en concreto sin que afecte al resto.

    Gracias

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.