6

VPN site to site IPSEC entre Fortigate on-premise y Fortigate Azure

Hola a tod@s,

En este post vamos a ver cómo configurar una VPN site to site IPSEC entre Fortigate on-premise y Fortigate Azure.

La topología que vamos a utilizar será esta:

  • Lo primero que vamos a realizar será acceder a nuestro Fortigate on-premise, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el primer extremo de la VPN:

  • En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

  • En la parte de Red configuramos la IP estática que tenemos asignada al Fortigate de Azure y la interface de salida:

  • En Autenticación le indicamos la Key compartida:

  • Configuramos la fase 1:

  • Configuramos la fase2:

  • Como podemos ver ya tenemos el primer extremo de la VPN configurado, el de la parte on-premise:

  • Ahora vamos a crear las políticas:
  • Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

  • Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

  • Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

  • Aquí podemos ver las políticas creadas:

  • Ahora creamos la ruta estática hacia Azure:

  • Lo segundo que vamos a realizar será acceder a nuestro Fortigate en Azure, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el segundo extremo de la VPN:

  • En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

  • En la parte de Red configuramos la IP estática que tenemos asignada al Fortigate on-premise y la interface de salida:

  • En Autenticación le indicamos la Key compartida:

  • Configuramos la fase 1:

  • Configuramos la fase2:

  • Como podemos ver ya tenemos el segundo extremo de la VPN configurado, el de la parte de Azure:

  • Ahora vamos a crear las políticas:
  • Accedemos a Políticas y objetos> Firewall Policy> Crear nuevo:

  • Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

  • Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

  • Aquí podemos ver las políticas creadas:

  • Ahora creamos la ruta estática hacia nuestro entorno on-premise:

  • Como podemos ver, ya tenemos el túnel IPSEC levantado:

  • Para verificar que todo funciona correctamente vamos a realizar un ping desde una máquina on-premise a una máquina en Azure y viceversa:

 

Saludos y espero que os sea de ayuda 😉

 

Jose Ramon Ramos Gata

Técnico Superior STI

6 comentarios

  1. Muchas gracias! Quería hacerte un pregunta. Al agregar en las snets la ruta udr de 0.0.0.0/0 (internet) que pase por la pata interna del fw lan, las maquinas que tenemos en esas subnets que necesitan servicios en la ip 168.63.129.16 del wire server, no habria problema no? al ser interna de azure. Ya que no dejara agregar una ruta udr sobre esa ip. Muchas gracias por el material!!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.