Hola a todo el mundo!
Tengo que configurar una VPN IPSec entre dos fortigates y me han surgido las siguientes dudas, a ver si me podeis hechar una mano.
- Primera: ambos fortigates están conectados, por el puerto wan1, a un router. Cuando configuro la fase 1 en cada uno de de los fortigates, indico que el remote gateway es la IP pública que tiene el router de la otra subred. Supongo que hasta aquí bien, pero... debo realizar algún NAT en el router?
Supongo que tendré que redirijir la conexión VPN que llega a la IP pública del router hacia la IP del fortigate,no? A que puertos afecta la redirección?
-Segundo: todas las subredes que cuelgan de uno y otro fortigate, deben ser diferentes? Supongo que también, no tendría sentido tener la subred 192.168.0.1 colgando de ambos fortigates, por ejemplo...
Nada más. Espero vuestras sugerencias
Mario
vpn ipsec entre fortigates
1º el remote gateway tienes que poner la ip pública del otro extremo de la vpn. (la ip del router remoto). en caso de que tengas ips publicas en la interfaz del firewall sería mas facil y no tendrías que redirigir ningun puerto desde el router al firewall y como gateway remota pondrías las ips publicas de lso firewalls.
en caso contrario ->
2º Dentro del IPSec puede seleccionar dos protocolos :
si utilizas AH (Authentification Header) se usarán el puerto 51,
si vas por ESP se usará el 50
los de negociación de IKE (500 UDP). Si no vas por ESP y encapsulas en NAT-T los 4500 UDP.
La configuración más habitual es ESP.
3º las subredes locales tienen que ser diferente en ambos fortigates sino no hay vpn que valga.
un saludo
en caso contrario ->
2º Dentro del IPSec puede seleccionar dos protocolos :
si utilizas AH (Authentification Header) se usarán el puerto 51,
si vas por ESP se usará el 50
los de negociación de IKE (500 UDP). Si no vas por ESP y encapsulas en NAT-T los 4500 UDP.
La configuración más habitual es ESP.
3º las subredes locales tienen que ser diferente en ambos fortigates sino no hay vpn que valga.
un saludo
Y si establezco una conexión VPN SSL client-to-site en un escenario similar, que puertos debo redirijir en el router?
Supongo que, para empezar, el 10443 que es el puerto en el que escucha el servidor web que incorpora el fortigte y que permite loguearnos. Y luego? redirijo también el 443?
Gracias por contestar y salud!!
Supongo que, para empezar, el 10443 que es el puerto en el que escucha el servidor web que incorpora el fortigte y que permite loguearnos. Y luego? redirijo también el 443?
Gracias por contestar y salud!!
-
javier_n26
- Mensajes: 67
- Registrado: 05 Jul 2007, 00:07
- Ubicación: COLOMBIA
Rta
hola
no tienes necesidad de redirigir esos puertos
no tienes necesidad de redirigir esos puertos