Hola a tod@s,
En este post vamos a ver cómo configurar una VPN site to site IPSEC entre un Fortigate on-premise y un OPNSense en Azure.
La topología que vamos a utilizar será esta:
- Lo primero que vamos a realizar será acceder a nuestro Fortigate on-premise, y sobre VPN > Túneles IPsec > Crear nuevo > IPsec Tunnel, empezaremos a crear el primer extremo de la VPN:
- En Configuración de VPN seleccionamos Personalizar y le indicamos un Nombre:
- En la parte de Red configuramos la IP estática que tenemos asignada al OPNSense de Azure y la interface de salida:
- En Autenticación le indicamos la Key compartida:
- Configuramos la fase 1:
- Configuramos la fase2:
- Como podemos ver, ya tenemos el primer extremo de la VPN configurado, el de la parte on-premise:
- Ahora vamos a crear las políticas:
- Accedemos a Políticas y objetos> Política IPv4 > Crear nuevo:
- Creamos una política para la conexión de sitio a sitio que permita el tráfico saliente:
- Creamos otra política para la conexión de sitio a sitio que permita el tráfico entrante:
- Aquí podemos ver las políticas creadas:
- Ahora creamos la ruta estática hacia Azure:
- Lo segundo que vamos a realizar será acceder a nuestro OPNSense en Azure, y sobre Firewall > WAN > +, nos crearemos tres reglas de firewall para permitir el tráfico IPSEC a la interfaz WAN:
- Regla para IPSec ESP:
- Regla para IPSec ISAKMP puerto 500:
- Regla para IPSec NAT-T puerto 4500:
- Como podemos ver aquí tenemos las tres reglas creadas en la interface WAN:
- Ahora vamos a configurar la fase 1 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:
- Como podemos ver, ya tenemos la fase 1 creada, habilitamos IPSec y aplicamos los cambios:
- Ahora vamos a configurar la fase 2 de la VPN site to site, para ello, accedemos a VPN > IPSec > Connections > Tunnel Settings (legacy) > +:
- Aplicamos los cambios:
- Como podemos ver, ya tenemos la fase 2 de la VPN site to site configurada:
- Para terminar, vamos a crear dos políticas, una de entrada y otra de salida para comunicar las dos subredes que tenemos, una en Azure y otra On-premise, para ello, accedemos a Firewall > Rules > IPSec > +:
- Regla de entrada:
- Regla de salida:
- Aquí vemos las dos reglas creadas:
- A continuación, sobre Firewall > Rules > LAN vamos a crear esta regla para permitir el tráfico entre la subred de Azure y la subred on-premise:
- Como podemos ver, ya tenemos el túnel IPSEC levantado.
- Fortigate On-premise:
- OPNSense Azure:
- Para verificar que todo funciona correctamente vamos a realizar un ping desde una máquina on-premise a una máquina en Azure y viceversa:
Saludos y espero que os sea de ayuda 😉
Hola, tengo una IPsec site to site entre un fortigate 100F y un OPNsense 24.1.1, el tunel en la fase 1 y 2 se establece luego cuando hay trafico alto la comunicación o ping entre los 2 se pierde, me toca reiniciar la IPSEC desde el opnsense, la fase 1 lo tengo configurado 3DES + SHA1,SHA256 + DH Group 5 NAT-t disable 28800 life y la fase 2 AES128 + SHA256 pfs key group off y lifetime 3600, como se podría mejorar.