VPN IPSec Junipersitio remoto - Fortigate sitios principal y contingencia

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
Lucheberi
Mensajes: 1
Registrado: 04 Ago 2022, 15:40

VPN IPSec Junipersitio remoto - Fortigate sitios principal y contingencia

Mensaje por Lucheberi »

Saludos a toda la comunidad,

Quiero establecer 3 VPN haciendo uso de un Juniper SRX100 con sistema operativo 12.3, contra 2 equipos Fortigate v 6.4.4, ubicados en un sitio Central y otro de contingencia en los cuales se replica un servidor, como se muestra en la topología adjunta.

El equipo Juniper usa el siguiente criterio para definir a que tunel se conecta haciedno uso del protocolo propietario RPM e ip-monitoring:
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
root@FW-SRX100# show services
rpm {
probe CENTRAL {
test test-CENTRAL {
target address 10.10.26.1;
probe-count 10;
probe-interval 1;
test-interval 10;
thresholds {
successive-loss 10;
total-loss 5;
}
}
}
probe CENTRAL-CONTINGENCIA {
test test-CENTRAL {
target address 10.10.26.1;
probe-count 10;
probe-interval 1;
test-interval 10;
thresholds {
successive-loss 10;
total-loss 5;
}
}
test test-SITIO-ALTERNO {
target address 10.30.26.1;
probe-count 10;
probe-interval 1;
test-interval 10;
thresholds {
successive-loss 10;
total-loss 5;
}
}
}
}
ip-monitoring {
policy ALTERNO {
match {
rpm-probe CENTRAL;
}
then {
preferred-route {
route 10.0.2.0/24 {
next-hop 10.30.26.1;
}
route 10.0.3.0/24 {
next-hop 10.30.26.1;
}
route 192.168.2.0/24 {
next-hop 10.30.26.1;
}
route 10.0.4.21/32 {
next-hop 10.30.26.1;
}
route 192.168.3.0/24 {
next-hop 10.30.26.1;
}
}
}
}
policy ALTERNO-3G {
match {
rpm-probe CENTRAL-CONTINGENCIA;
}
then {
preferred-route {
route 0.0.0.0/0 {
next-hop 10.40.26.1;
}
}
}
}
}
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
En este momento el equipo Juniper se conecta con otro equipo de la misma marca y esta selección funciona transparentemente, la conexión conmuta entre tuneles de acuerdo a lo esperado, cuando cae uno u otro servicio.

Al configurar los equipos Fortigate, no sé como configurar las interfaces del extremo Fortigate de los tuneles, las marcadas en rojo en la topología, ya que son estas las que el firewall Juniper usa para controlar la disponibilidad de uno u otro tunel, al conectar los Fortigate y modificar las direcciones para el control con las direcciones de las interfaces físicas de estos, se pueden ver las 3 VPNs arriba en el Juniper, y los equipos Fortigate (1 en la central y 2 en contingencia), cuando provocamos la caida del enlace en la central, Juniper sigue viendo los 3 tuneles arriba y el tráfico de datos no conmuta de tunel, no importa cuanto tiempo este en ese estado, mientras que en el Fortigate de la Central el tunel se ve abajo, el cambio es casi inmediato, y los 2 tuneles en contingencia estan arriba, pero no trafican datos.

Debemos tomar en cuenta que las interfaces WAN de los Fortigate cerraran VPNs con varios sitios remotos, por lo que cerrar los tuneles con la IP del puerto físico no resulta factible, se deben configurar las IPs de los tuneles para diferenciar el tráfico.

Los tuneles deberian conectar de la siguiente forma: el tunel 1 se cierra entre las interfaces fe0/0/2 Juniper y WAN1 Fortigate Central, funcionamiento por defecto o cuando todo esta normal, el tunel 2 se cierra entre fe-0/0/2 Juniper y WAN1 Fortigate Contingencia, cuando el tunel 1 cae y por último el tunel 3 se cierra entre fe-0/0/0 Juniper y WAN2 Fortigate contingencia, cuando el primer y segundo tunel se encuentran abajo.

Adjunto la configuración del Fortigate de la Central, Contingencia tiene una configuración similar solo que usa 2 tuneles.

Gracias.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
AndresW
Mensajes: 450
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSec Junipersitio remoto - Fortigate sitios principal y contingencia

Mensaje por AndresW »

Hola:

Te sugiero contratar algún asesor que lleve a cabo el requerimiento, puesto que estás prácticamente pidiendo que alguien acá haga tu trabajo.

Está bien pedir una orientación, pero ya pretender que alguien te entregue una solución que no es básica y de manera gratuita es otra cosa.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder