LOS molesto con mi tema, pero es que de verdad ya no doy con la solución,
Tengo un Equipo 40C el cual quiero configurar como Server de Dialup user tiene como operativo la version 5 además ya descargue el manual que describe la manera de configurar el equipo y los 15 equipos 20C con version 5 que quiero como dialup client´s pues necesito hacer funcionar PBX de voz IP ubicados en distintos estados de mi país, el problema es que el manual se salta en lo deberia de ser el paso 5 el Pre-shared key, pues no dice nada de ello,y lo mas importante es que dice que habilitemos el modo IP-sec, que le demos click al un boton que diga "Advanced" para poder ver esos campos de configuración pero en mi equipo no se muestran esas opciones, he visto tutoriales donde si aparecen esos botones pero no se como habilitarlos, solo supongo que es por línea de comando pero tampoco encuentro las sentencias necesarias. Por favor ayudeme.
1.-Name Enter a name to identify the VPN tunnel. This name appears in phase
2 configurations, security policies and the VPN monitor.
2.-Remote Gateway Select Dialup User.
3.-Local Interface Select the interface through which clients connect to the FortiGate
unit.
4.-Mode If you will be assigning an ID to the FortiGate dialup client, select
Aggressive.
5.-???????????????
6.-Peer Options If you will be assigning an ID to the FortiGate dialup client, select
Accept this peer ID and type the identifier that you reserved for the
FortiGate dialup client into the adjacent field.
7.-Enable IPsec Interface Mode
You must select Advanced to see this setting. If IPsec Interface
Mode is enabled, the FortiGate unit creates a virtual IPsec interface
for a route-based VPN. Disable this option if you want to create a
policy-based VPN.
After you select OK to create the phase 1 configuration, you cannot
change this setting.
IP sec en VPN
Re: IP sec en VPN
Buenas!
Pregunta: que entendes por: "...Server de Dialup user..."???
No entiendo cual es tu escenario actual ni cual es el que queres tener, pero corregime si me equivoco:
Tenes varios Fortigate 20C y queres que se conecten por Internet (presumo) a un Fortigate 40C para pasar trafico de VoIP cierto?
si queres hacer tuneles VPN entre esos 20C contra el 40C, me parece que es la manera de aproximarse al tema.
Antes de continuar con cualquier configuracion de una VPN, tenes que asignar direcciones IP a cada equipo, es decir tenes que definir que redes vas a tener.
Ahora bien, supongamos que la red que quieras usar en el sitio en donde tengas el Fortigate 40C es la 192.168.10.0/24 y en un sitio donde tengas el 20C uses la 192.168.20.0/24 (asignando la primer direccion de cada rango para el fortigate) y asignes a los equipos de telefonia (por direccionamiento estatico o por DHCP IP de esos rangos, por ejemplo un telefono IP que esta en el sitio donde esta el 20C tenga la IP 192.168.20.100/24 con GW 192.168.20.1 y en el sitio donde tengas el 40C pongas un call server o algo similar en donde el telefono se registre con IP 192.168.10.100/24 con gw 192.168.10.1 que es la que tendria el 40C.
Ahora supongamos que en cada Firewall tenes IP publicas estaticas para no hacerlo mas complicado:
20C: 20.1.1.1
40C: 40.1.1.1
Una vez hecho esto, queda conectar estos dos segmentos entre si y ahi si recien armamos un tunel VPN usando Ipsec en modo interfaz para hacerlo simple.
Para eso se necesita configurar:
1) Ike phase1 y 2
2) Ruta de un sitio al otro
3) politica de firewall
1) primero configuras Ike fase 1 en el Fortigate 40C:
edit "VPN_20C"
set interface "wan1"
set keylife 86400
set proposal aes128-sha1
set remote-gw 20.1.1.1
set psksecret PASSWORD
next
end
si te genera confusion lo de PSK, es una contraseña que colocas en cada lado para armar la VPN, para simplificar, con saber eso te alcanza.
despues configuras la fase 2:
config vpn ipsec phase2-interface
edit "VPN_20C_Ph2"
set keepalive enable
set keylife-type both
set phase1name "VPN_20C"
set proposal aes128-sha1
set keylifekbs 128000
set keylifeseconds 28800
next
end
2)
ahora le cargas una ruta:
config router static
edit 1
set comment "Trafico hacia Fortigate 20C"
set device "VPN_20C"
set dst 192.168.20.0 255.255.255.0
next
end
por ultimo una politica:
config firewall policy
edit 10
set srcintf "LAN"
set dstintf "VPN_20C"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set comments "Trafico hacia Fortigate 20C"
set nat enable
next
end
y listo! ahora haces lo mismo en el 20C, cambiando la ruta por la 192.168.10.0/24, usando la misma pass y ya esta.
Luego, para cada sitio, seguis el mismo procedimiento, avisanos como te fue.
Saludos!
Pregunta: que entendes por: "...Server de Dialup user..."???
No entiendo cual es tu escenario actual ni cual es el que queres tener, pero corregime si me equivoco:
Tenes varios Fortigate 20C y queres que se conecten por Internet (presumo) a un Fortigate 40C para pasar trafico de VoIP cierto?
si queres hacer tuneles VPN entre esos 20C contra el 40C, me parece que es la manera de aproximarse al tema.
Antes de continuar con cualquier configuracion de una VPN, tenes que asignar direcciones IP a cada equipo, es decir tenes que definir que redes vas a tener.
Ahora bien, supongamos que la red que quieras usar en el sitio en donde tengas el Fortigate 40C es la 192.168.10.0/24 y en un sitio donde tengas el 20C uses la 192.168.20.0/24 (asignando la primer direccion de cada rango para el fortigate) y asignes a los equipos de telefonia (por direccionamiento estatico o por DHCP IP de esos rangos, por ejemplo un telefono IP que esta en el sitio donde esta el 20C tenga la IP 192.168.20.100/24 con GW 192.168.20.1 y en el sitio donde tengas el 40C pongas un call server o algo similar en donde el telefono se registre con IP 192.168.10.100/24 con gw 192.168.10.1 que es la que tendria el 40C.
Ahora supongamos que en cada Firewall tenes IP publicas estaticas para no hacerlo mas complicado:
20C: 20.1.1.1
40C: 40.1.1.1
Una vez hecho esto, queda conectar estos dos segmentos entre si y ahi si recien armamos un tunel VPN usando Ipsec en modo interfaz para hacerlo simple.
Para eso se necesita configurar:
1) Ike phase1 y 2
2) Ruta de un sitio al otro
3) politica de firewall
1) primero configuras Ike fase 1 en el Fortigate 40C:
edit "VPN_20C"
set interface "wan1"
set keylife 86400
set proposal aes128-sha1
set remote-gw 20.1.1.1
set psksecret PASSWORD
next
end
si te genera confusion lo de PSK, es una contraseña que colocas en cada lado para armar la VPN, para simplificar, con saber eso te alcanza.
despues configuras la fase 2:
config vpn ipsec phase2-interface
edit "VPN_20C_Ph2"
set keepalive enable
set keylife-type both
set phase1name "VPN_20C"
set proposal aes128-sha1
set keylifekbs 128000
set keylifeseconds 28800
next
end
2)
ahora le cargas una ruta:
config router static
edit 1
set comment "Trafico hacia Fortigate 20C"
set device "VPN_20C"
set dst 192.168.20.0 255.255.255.0
next
end
por ultimo una politica:
config firewall policy
edit 10
set srcintf "LAN"
set dstintf "VPN_20C"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set comments "Trafico hacia Fortigate 20C"
set nat enable
next
end
y listo! ahora haces lo mismo en el 20C, cambiando la ruta por la 192.168.10.0/24, usando la misma pass y ya esta.
Luego, para cada sitio, seguis el mismo procedimiento, avisanos como te fue.
Saludos!
-
Luis Hernandez
- Mensajes: 2
- Registrado: 08 Ene 2015, 23:06
Re: IP sec en VPN
Si, ese es el escenario, muchas gracias por tu tiempo, segui tu metodo, (con algunas adecuacines) y funciono, ya tengo enlazadas las sucursales y ya configure mis PBX, desde luego ya hay trafico de voz... ya solo tengo un problema, a pesar de que tengo el check en la casilla de keep alive casi todos los dias tengo que entrar a los equipos a levanter manualmente las vpn´s, como le hago para que siempre esten arriba o por lo menos mas tiempo????
Re: IP sec en VPN
Buenas, me alegra mucho haber podido ayudarte! y es obvio que vas a tener hacer modificaciones, cada escenario, cada negocio y cada administrador es unico y se toman desiciones que obviamente modifican cualquier solucion estandar, por eso es importante entender el como funciona antes de copiar respuestas.
Volviendo a tu pregunta: Eso sucede cuando no hay trafico por la VPN, podes solucionarlo de varias maneras.
1) colocar el comando auto-negotiate enable en Ike Phase2 de cada VPN, con eso cada firewall negocia las SA de Ike phase2 aun cuando no exista trafico interesante.
2) generar un ping desde un equipo de monitoreo a traves de la VPN.
3) colocarles ip a las interfaces virtuales que te genera la VPN y hacer un GW detect por la VPN, esto ultimo no lo probe, pero me imagino que debe funcionar.
en mi caso, esto me sucedia cuando desde un lado de los tuneles no tenia ip publica, es decir, que estaba detras de otro router que si salia a internet, asi que la VPN era en modo dial up, para solucionarlo use el metodo 1 que puse mas arriba.
Ojala te sirva, y avises si te funciona o no.
Saludos y suerte!!
Volviendo a tu pregunta: Eso sucede cuando no hay trafico por la VPN, podes solucionarlo de varias maneras.
1) colocar el comando auto-negotiate enable en Ike Phase2 de cada VPN, con eso cada firewall negocia las SA de Ike phase2 aun cuando no exista trafico interesante.
2) generar un ping desde un equipo de monitoreo a traves de la VPN.
3) colocarles ip a las interfaces virtuales que te genera la VPN y hacer un GW detect por la VPN, esto ultimo no lo probe, pero me imagino que debe funcionar.
en mi caso, esto me sucedia cuando desde un lado de los tuneles no tenia ip publica, es decir, que estaba detras de otro router que si salia a internet, asi que la VPN era en modo dial up, para solucionarlo use el metodo 1 que puse mas arriba.
Ojala te sirva, y avises si te funciona o no.
Saludos y suerte!!