VPN IPsec Dialup Fortigate

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
thblabla
Mensajes: 8
Registrado: 18 Feb 2009, 19:29

VPN IPsec Dialup Fortigate

Mensaje por thblabla »

Hola foro!
Espero se encuentren bien.
Tengo una VPN entre dos sitios funcionando perfectamente, sin embargo ahora me he enfrentado a un requerimiento más...

La VPN original va:
Site 1
192.168.10.0/24 (Fortigate detras de un revendedor de Internet, es decir detrás de un router NAT)
Site 2
192.168.1.0/24 (Fortigate con IP Publica)

El detalle que ahora se habilitó otra interface para una red distinta 192.168.15.0/24 y se requiere la conexión de esas tres redes...

Aquí el detalle de configuraciones del Sitio 1:

config firewall address
edit "all"
next
edit "SSLVPN_TUNNEL_ADDR1"
set type iprange
set end-ip 10.212.134.210
set start-ip 10.212.134.200
next
edit "vpn_local"
set subnet 192.168.10.0 255.255.255.0
next
edit "vpn_remoto"
set subnet 192.168.1.0 255.255.255.0
next
edit "Local2"
set subnet 192.168.15.0 255.255.255.0
next
edit "Local"
set subnet 192.168.10.0 255.255.255.0
next
end
config vpn ipsec phase1-interface
edit "f1_Site2"
set interface "wan1"
set proposal 3des-sha1
set remote-gw 200.188.X.Y
set psksecret ENC *******************
next
end
config vpn ipsec phase2-interface
edit "f2_Site2"
set dst-addr-type name
set keepalive enable
set phase1name "f1_Site2"
set proposal 3des-sha1
set replay disable
set src-addr-type name
set dst-name "vpn_remoto"
set keylifeseconds 86400
set src-name "vpn_local"
next
end
config firewall policy
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 2
set srcintf "f1_Site2"
set dstintf "internal"
set srcaddr "vpn_remoto"
set dstaddr "vpn_local"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
next
edit 3
set srcintf "internal"
set dstintf "f1_Site2"
set srcaddr "vpn_local"
set dstaddr "vpn_remoto"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
next
edit 4
set srcintf "internal"
set dstintf "wan2"
set srcaddr "Local"
set dstaddr "Local2"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
set nat enable
next
end
config router static
edit 1
set device "f1_Site2"
set dst 192.168.1.0 255.255.255.0
next
end
thblabla
Mensajes: 8
Registrado: 18 Feb 2009, 19:29

Re: VPN IPsec Dialup Fortigate

Mensaje por thblabla »

¿Alguna idea de cómo hacerlo?
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: VPN IPsec Dialup Fortigate

Mensaje por AndresW »

Hola,

Tienes que configurar un Phase 2 Selector nuevo con los parámetros de encriptación que estimes conveniente (como sugerencia te recomiendo utilizar algoritmos de encriptación más robustos, puesto que los que manejas en la actualidad están obsoletos).

Site-1

Phase 2 Selector
192.168.15.0/24 --> 192.168.1.0/24

Crear/modificar las policies que permitan el tráfico tanto de entrada como de salida del túnel.

Site-2

Phase 2 Selector

192.168.1.0/24 --> 192.168.15.0/24

Agregar una ruta estática para enrutar el tráfico hacia la red 192.168.15.0/24 a través de la interfaz IPSec.

config router static
edit <N>
set device "f1_Site2"
set dst 192.168.15.0 255.255.255.0
next
end

Crear/modificar las policies que permitan el tráfico tanto de entrada como de salida del túnel.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder