Dudas en configuración básica de FortiGate

Consultas variadas de naturaleza técnica

Cerrado
SSL
Mensajes: 7
Registrado: 30 Ago 2021, 10:20

Dudas en configuración básica de FortiGate

Mensaje por SSL »

Hola a tod@s

Me han encargado la tarea de configurar mi primer FortiGate desde cero y tengo varias dudas de carácter básico.
Se trata de un Fortigate físico en modo stand alone que se va a instalar en una sede de cliente en el extranjero.
Por el momento únicamente tengo que hacer la configuración necesaria para que sea accesible y configurable desde internet.

Para ello tendré que pedir la IP Pública (valdría una privada?) que conectará este FW al router del proveedor de línea.
En las reglas crearé una ruta que permita el tráfico desde cualquier origen de la interfaz LAN hacia Internet
Después una ruta estática por defecto que envíe el tráfico que no conece a un GW que debería de ser la IP del router conectado al FW
Para la gestión remota del equipo entiendo que si la IP WAN es pública bastaría con habilitar https en la config de esta...pero me parece una práctica un tanto insegura.
Debería mejor crear una VPN IPSec para el acceso y gestión remotos?

Deberé crear usuarios administradores, redes, reglas, etc
Algún procedimiento, tutorial o video orientativo? Que preguntas debo de hacerme? que más tengo que solicitar al cliente o proveedor de línea?

Adjunto una imagen básica de lo que entiendo que será la topología.

Muchas gracias y saludos,
SSL
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 171
Registrado: 09 Jun 2014, 17:05

Re: Dudas en configuración básica de FortiGate

Mensaje por AndresW »

Hola,

Primero que todo bienvenido al mundo de FortiGate. Te respondo punto por punto:
Hola a tod@s

Me han encargado la tarea de configurar mi primer FortiGate desde cero y tengo varias dudas de carácter básico.
Se trata de un Fortigate físico en modo stand alone que se va a instalar en una sede de cliente en el extranjero.
Por el momento únicamente tengo que hacer la configuración necesaria para que sea accesible y configurable desde internet.

R: Ya que será un equipo que administrarás remotamente y más aún en otro país, te recomiendo aplicar una opción denominada Configuration Revert, lo que básicamente permite hacer cambios y confirmarlos después de un tiempo (en minutos) que tú definas.

Por default toda configuración que apliques quedará automáticamente guardada, y si te equivocoas por ejemplo en una ruta u objeto y pierdes conectividad será complejo. Por esta razón es de gran utilidad esta opción sobre todo si no tienes acceso físico al firewall, y sólo deberás esperar el tiempo de revert para que vuelva a la última configuración operativa.

Aquí tienes más información al respecto

[Debes identificarte para poder ver enlaces.]



Para ello tendré que pedir la IP Pública (valdría una privada?) que conectará este FW al router del proveedor de línea.

R: La IP que definas en la interfaz WAN del FortiGate idealmente que sea pública, de lo contrario tendrás que aplicar un NAT en el router del proveedor para poder alcanzar la gestión del firewall y a la larga se te transformará en un tema problemático.

En las reglas crearé una ruta que permita el tráfico desde cualquier origen de la interfaz LAN hacia Internet

R: Para comenzar está bien, después podrías refinarla un poco más.

Después una ruta estática por defecto que envíe el tráfico que no conece a un GW que debería de ser la IP del router conectado al FW

R: Efectivamente.

Para la gestión remota del equipo entiendo que si la IP WAN es pública bastaría con habilitar https en la config de esta...pero me parece una práctica un tanto insegura.

R: No puedes estar más en lo cierto. Te sugiero utilizar una VPN para la gestión remota del equipo.

Debería mejor crear una VPN IPSec para el acceso y gestión remotos?

R: IPSec es una muy buena y segura opción, sin embargo por motivos de puertos de comunicaciones requeridos, se vuelve un poco complejo en ambientes muy controlados donde muchas veces no tienes la chance de que te habiliten tal o cual puerto, por lo que una VPN SSL (bien configurada) es tan segura como la primera, y sólo necesitas el puerto 443, que en estos tiempos es impensable que algún administrador de red mantenga filtrado.

Deberé crear usuarios administradores, redes, reglas, etc
Algún procedimiento, tutorial o video orientativo? Que preguntas debo de hacerme? que más tengo que solicitar al cliente o proveedor de línea?

R: Un buen lugar por donde comenzar podría ser [Debes identificarte para poder ver enlaces.]

Adjunto una imagen básica de lo que entiendo que será la topología.

R: Si usas Telegram te invito a un grupo que tenemos con otros usuarios del foro donde podremos ayudarte con cualquier duda. [Debes identificarte para poder ver enlaces.]

Muchas gracias y saludos,
SSL
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SSL
Mensajes: 7
Registrado: 30 Ago 2021, 10:20

Re: Dudas en configuración básica de FortiGate

Mensaje por SSL »

Muchas gracias por tu ayuda AndresW,

Me ha gustado la técnica del configuration Revert,suelo empelarla habitualmente con switches de otros fabricantes,no sabía que era posible en Forti.
Trataré de configurar una VPN SSL a través de FortiClient.
Seguiré el enlace que me comentas.

Saludos!
AndresW
Mensajes: 171
Registrado: 09 Jun 2014, 17:05

Re: Dudas en configuración básica de FortiGate

Mensaje por AndresW »

De nada estimado. La verdad es que yo también utilizo el mismo método en routers Juniper y es muy interesante que FortiGate también tenga algo similar, sobre todo para administraciones remotas o donde no se logra acceso fisico fácilmente al dispositivo.

Te dejo un documento explicativo para que puedas configurar la VPN SSL.

[Debes identificarte para poder ver enlaces.]

Cualquier duda aquí estamos.

Saludos!
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
SSL
Mensajes: 7
Registrado: 30 Ago 2021, 10:20

Re: Dudas en configuración básica de FortiGate

Mensaje por SSL »

Perfecto! Muchas gracias Andres, muy bien detallado.
Cerrado