2

VPN site to site IPSEC entre Fortigate on-premise y OPNSense Azure

Hola a tod@s,

En este post vamos a ver cómo configurar una VPN site to site IPSEC entre un Fortigate on-premise y un OPNSense en Azure.

La topología que vamos a utilizar será esta:

  • Lo primero que vamos a realizar será acceder a nuestro Fortigate on-premise, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el primer extremo de la VPN:

  • En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:

  • En la parte de Red configuramos la IP estática que tenemos asignada al OPNSense de Azure y la interface de salida:

  • En Autenticación le indicamos la Key compartida:

  • Configuramos la fase 1:

  • Configuramos la fase2:

  • Como podemos ver, ya tenemos el primer extremo de la VPN configurado, el de la parte on-premise:

  • Ahora vamos a crear las políticas:
  • Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:

  • Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:

  • Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:

  • Aquí podemos ver las políticas creadas:

  • Ahora creamos la ruta estática hacia Azure:

  • Lo segundo que vamos a realizar será acceder a nuestro OPNSense en Azure, y sobre Firewall > WAN > +, nos crearemos tres reglas de firewall para permitir el tráfico IPSEC a la interfaz WAN:

  • Regla para IPSec ESP:

  • Regla para IPSec ISAKMP puerto 500:

  • Regla para IPSec NAT-T puerto 4500:

  • Como podemos ver aquí tenemos las tres reglas creadas en la interface WAN:

  • Ahora vamos a configurar la fase 1 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:

  • Como podemos ver, ya tenemos la fase 1 creada, habilitamos IPSec y aplicamos los cambios:

  • Ahora vamos a configurar la fase 2 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:

  • Aplicamos los cambios:

  • Como podemos ver, ya tenemos la fase 2 de la VPN site to site configurada:

  • Para terminar, vamos a crear dos políticas, una de entrada y otra de salida para comunicar las dos subredes que tenemos, una en Azure y otra On-premise, para ello, accedemos a Firewall > Rules > IPSec > +:

  • Regla de entrada:

  • Regla de salida:

  • Aquí vemos las dos reglas creadas:

  • A continuación, sobre Firewall > Rules > LAN vamos a crear esta regla para permitir el tráfico entre la subred de Azure y la subred on-premise:

  • Como podemos ver, ya tenemos el túnel IPSEC levantado.
  • Fortigate On-premise:

  • OPNSense Azure:

  • Para verificar que todo funciona correctamente vamos a realizar un ping desde una máquina on-premise a una máquina en Azure y viceversa:

 

Saludos y espero que os sea de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

2 comentarios

  1. Hola, tengo una IPsec site to site entre un fortigate 100F y un OPNsense 24.1.1, el tunel en la fase 1 y 2 se establece luego cuando hay trafico alto la comunicación o ping entre los 2 se pierde, me toca reiniciar la IPSEC desde el opnsense, la fase 1 lo tengo configurado 3DES + SHA1,SHA256 + DH Group 5 NAT-t disable 28800 life y la fase 2 AES128 + SHA256 pfs key group off y lifetime 3600, como se podría mejorar.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.