Buenas, os comento la situación de un proyecto:
3 sedes, cada una con un fortigate dedicado.
La SEDE A con rango LAN 10.10.1.0/24 conectada con ipsec site-to-site a la SEDE B con rango LAN 10.10.90.0/24
La SEDE A también conectada site-to-site con la SEDE C con rango LAN 10.20.1.0/24
Lo que necesito es que a través de esos 2 túneles ipsec las SEDES B y C se vean a través de la SEDE A, es posible? ¿Como se hace?
Otra duda, en un tunel ipsec site-to-site, como configuro para que la SEDE B salga a internet a través de la conexión de la SEDE A?
Un saludo gracias.
3 VPN site-to-site
Re: 3 VPN site-to-site
Saludos ryoga,
Va a estar largo pero espero te ayude si lo lees un par de veces...
Si ya tienes todos tus IPSEC configurados, ambos B y C conectados a A, solo debes configurar las rutas adecuadamente y revisar tus politicas. Si, lo quieres simple y solo vas a usar /24 rutas estáticas es los mas fácil... lo otro seria configurar ospf via IPSEC que ya es mas complicado.
Que tipo de IPSEC configuraste? Policy based (donde tienes una política con acción IPSEC) o interface based (donde solo tienes 2 políticas bidireccional (de SEDE A a SEDE B y de SEDE B a SEDE A) ?
Si es interface based:
Para que se vean las 2 sedes
En SEDE B y SEDE C
-Asegúrate que tengas una Ruta en SEDE B que diga: para ir a SEDE C ve a la IPSEC interfaz de SEDE A.
-Y de igual forma, en SEDE C una ruta que diga: para ir a SEDE B ve a la IPSEC interfaz de SEDE A.
-Asegúrate que tu políticas en SEDE B de origen (SEDE B a SEDE A) y de regreso (SEDE A a SEDE B) tengan el rango de SEDE C.
-Y de igual forma en SEDE C, que ambas políticas tengan el rango de SEDE B
En SEDE A:
-Ya debes tener ambas rutas a SEDE B (por medio de la interfaz IPSEC a SEDE B) y a SEDE C (por medio de la interfaz IPSEC a SEDE C)
-Si aun no lo has hecho, crea un interfaz tipo ZONA donde las interfaces de SEDE B y SEDE C son miembros (asegúrate que la casilla Block intra-zone traffic no este marcada)
Esto va a cambiar un poco tus políticas pero te va hacer la vida mas fácil si añades mas sedes en el futuro.
-En vez te tener 4 políticas (SEDE A a SEDE B) (SEDE B a SEDE A) (SEDE C a SEDE A) (SEDE A a SEDE C)
Vas a tener 2, (SEDE A a SEDES_REMOTAS (interfaz tipo ZONA) ) (SEDES_REMOTAS a SEDE A)
Ahí en esas políticas vas a tienes el rango de SEDE A y los rangos de las SEDES B y C (en el futuro solo añades los rangos de las nuevas SEDES)
Para el Acceso a Internet por medio de SEDE A:
En SEDE A
- Hoy debes tener una política que dice (Interna SEDE A a Externa SEDE A)
- De igual manera vas a crear una nueva que diga (SEDES_REMOTAS a Externa_SEDE A) donde los rangos de origen van a ser los de tus SEDES que quieres que accedan a Internet por medio de SEDE A y el destino va a ser 0.0.0.0/0
En la SEDES_REMOTAS
-En ves de tener una política para Internet que diga (Interno SEDE B a Externo SEDE B) va a tener una que diga (Interno SEDE B a SEDE_A) con destino 0.0.0.0/0
-También debes tener una ruta que diga: para ir a 0.0.0.0/0 ve a la IPSEC Interfaz de SEDE A
NOTA: A veces he visto que la ruta para conectarse inicialmente al IPSEC en SEDE A es necesaria también. Así que asegúrate que antes de cambiar tu ruta por defecto (0.0.0.0/0 a SEDE A) tengas una ruta que diga: (para ir a la IP Publica SEDE A ve a la interfaz WAN o Externa de la SEDE_REMOTA (B o C)) Así te aseguras que el trafico para iniciar el IPSEC tunnel a SEDE A siempre tenga la ruta por medio de tu interfaz WAN o Externa en cada SEDE.
fiuuu .. léelo un par de veces para que lo entiendas bien. Escribirlo o dibujarlo también puede ayudar a que lo visualices.
Saludos,
Garsa
Va a estar largo pero espero te ayude si lo lees un par de veces...
Si ya tienes todos tus IPSEC configurados, ambos B y C conectados a A, solo debes configurar las rutas adecuadamente y revisar tus politicas. Si, lo quieres simple y solo vas a usar /24 rutas estáticas es los mas fácil... lo otro seria configurar ospf via IPSEC que ya es mas complicado.
Que tipo de IPSEC configuraste? Policy based (donde tienes una política con acción IPSEC) o interface based (donde solo tienes 2 políticas bidireccional (de SEDE A a SEDE B y de SEDE B a SEDE A) ?
Si es interface based:
Para que se vean las 2 sedes
En SEDE B y SEDE C
-Asegúrate que tengas una Ruta en SEDE B que diga: para ir a SEDE C ve a la IPSEC interfaz de SEDE A.
-Y de igual forma, en SEDE C una ruta que diga: para ir a SEDE B ve a la IPSEC interfaz de SEDE A.
-Asegúrate que tu políticas en SEDE B de origen (SEDE B a SEDE A) y de regreso (SEDE A a SEDE B) tengan el rango de SEDE C.
-Y de igual forma en SEDE C, que ambas políticas tengan el rango de SEDE B
En SEDE A:
-Ya debes tener ambas rutas a SEDE B (por medio de la interfaz IPSEC a SEDE B) y a SEDE C (por medio de la interfaz IPSEC a SEDE C)
-Si aun no lo has hecho, crea un interfaz tipo ZONA donde las interfaces de SEDE B y SEDE C son miembros (asegúrate que la casilla Block intra-zone traffic no este marcada)
Esto va a cambiar un poco tus políticas pero te va hacer la vida mas fácil si añades mas sedes en el futuro.
-En vez te tener 4 políticas (SEDE A a SEDE B) (SEDE B a SEDE A) (SEDE C a SEDE A) (SEDE A a SEDE C)
Vas a tener 2, (SEDE A a SEDES_REMOTAS (interfaz tipo ZONA) ) (SEDES_REMOTAS a SEDE A)
Ahí en esas políticas vas a tienes el rango de SEDE A y los rangos de las SEDES B y C (en el futuro solo añades los rangos de las nuevas SEDES)
Para el Acceso a Internet por medio de SEDE A:
En SEDE A
- Hoy debes tener una política que dice (Interna SEDE A a Externa SEDE A)
- De igual manera vas a crear una nueva que diga (SEDES_REMOTAS a Externa_SEDE A) donde los rangos de origen van a ser los de tus SEDES que quieres que accedan a Internet por medio de SEDE A y el destino va a ser 0.0.0.0/0
En la SEDES_REMOTAS
-En ves de tener una política para Internet que diga (Interno SEDE B a Externo SEDE B) va a tener una que diga (Interno SEDE B a SEDE_A) con destino 0.0.0.0/0
-También debes tener una ruta que diga: para ir a 0.0.0.0/0 ve a la IPSEC Interfaz de SEDE A
NOTA: A veces he visto que la ruta para conectarse inicialmente al IPSEC en SEDE A es necesaria también. Así que asegúrate que antes de cambiar tu ruta por defecto (0.0.0.0/0 a SEDE A) tengas una ruta que diga: (para ir a la IP Publica SEDE A ve a la interfaz WAN o Externa de la SEDE_REMOTA (B o C)) Así te aseguras que el trafico para iniciar el IPSEC tunnel a SEDE A siempre tenga la ruta por medio de tu interfaz WAN o Externa en cada SEDE.
fiuuu .. léelo un par de veces para que lo entiendas bien. Escribirlo o dibujarlo también puede ayudar a que lo visualices.
Saludos,
Garsa
Re: 3 VPN site-to-site
Woo, muchas gracias!!!!
Voy a probarlo hoy y a leerlo detenidamente y escribiré aquí la experiencia.
De nuevo muchas gracias por tu tiempo!!!
Voy a probarlo hoy y a leerlo detenidamente y escribiré aquí la experiencia.
De nuevo muchas gracias por tu tiempo!!!
Re: 3 VPN site-to-site
Pues te comento, en principio no me ha funcionado ninguna de las 2 cosas...
Lo tengo configurado por interface based:
Para que se vean las 2 sedes:
- En SEDE B hay ruta para ir a SEDE C por la interfaz SEDE A y viceversa.
- En SEDE C hay ruta para ir a SEDE B por la interfaz SEDE A y viceversa.
En SEDE A:
- La interfaz tipo ZONA aunque la cree y meta dentro las 2 interfaces IPSEC se me queda como link down y no hay manera de levantarla, así que he seguido haciendo todo con políticas a la vieja usanza.
- Están las políticas para llegar a las SEDES B y C a través de sus interfaces IPSEC, donde el rango remoto son tanto de SEDE B como de SEDE C.
Con esto desde cualquiera de las SEDES B o C no veo la otra, solo la SEDE A.
No se si me falta algún paso intermedio.
Para el Acceso a Internet por SEDE A:
- Creada la política en la que Interfaz IPSECde SEDE B y SEDE C, salen por WAN1 de SEDE A, rangos origen de SEDE B y SEDE C, destino all.
En SEDES_REMOTAS:
- Creada static route: destino 0.0.0.0/0 por Interfaz IPSEC de SEDE A, GW la gateway de Externa SEDE B o C.
- Cambiada la política para salida Externa: Desde LAN SEDE Remota, con origen rango SEDE_Remota, destino ALL por interfaz IPSEC de SEDE A.
Con esto tampoco me funciona.
Cree la ruta static para ir a la IP Externa de SEDE A a través de la wan de cada SEDE Remota por si acaso.
Las rutas static para ir a 0.0.0.0/24 por Interfaz IPSEC SEDE A también están creadas.
No se si habrá que jugar con las distancias en las rutas/interfaces o con prioridades.
Un saludo, gracias!!!
Lo tengo configurado por interface based:
Para que se vean las 2 sedes:
- En SEDE B hay ruta para ir a SEDE C por la interfaz SEDE A y viceversa.
- En SEDE C hay ruta para ir a SEDE B por la interfaz SEDE A y viceversa.
En SEDE A:
- La interfaz tipo ZONA aunque la cree y meta dentro las 2 interfaces IPSEC se me queda como link down y no hay manera de levantarla, así que he seguido haciendo todo con políticas a la vieja usanza.
- Están las políticas para llegar a las SEDES B y C a través de sus interfaces IPSEC, donde el rango remoto son tanto de SEDE B como de SEDE C.
Con esto desde cualquiera de las SEDES B o C no veo la otra, solo la SEDE A.
No se si me falta algún paso intermedio.
Para el Acceso a Internet por SEDE A:
- Creada la política en la que Interfaz IPSECde SEDE B y SEDE C, salen por WAN1 de SEDE A, rangos origen de SEDE B y SEDE C, destino all.
En SEDES_REMOTAS:
- Creada static route: destino 0.0.0.0/0 por Interfaz IPSEC de SEDE A, GW la gateway de Externa SEDE B o C.
- Cambiada la política para salida Externa: Desde LAN SEDE Remota, con origen rango SEDE_Remota, destino ALL por interfaz IPSEC de SEDE A.
Con esto tampoco me funciona.
Cree la ruta static para ir a la IP Externa de SEDE A a través de la wan de cada SEDE Remota por si acaso.
Las rutas static para ir a 0.0.0.0/24 por Interfaz IPSEC SEDE A también están creadas.
No se si habrá que jugar con las distancias en las rutas/interfaces o con prioridades.
Un saludo, gracias!!!
Re: 3 VPN site-to-site
Hola. yo creo que tendrias que hacer lo siguiente. Primero dejar todo como esta, los tuneles entre A-B y AC.
En la fase 2 entre A y B, tienes que agregar como red local la red de C (en firewall de A)
En la fase 2 entre A y B, tienes que agregar como red remota la red de C (en firewall de B)
ruta en de red de C en Firewall de B
Los mismo entre A y C agregando la red de B, tanto en dominio de encripcion como ruta en firewall de red B en firewall de C.
Y por ultimo, politicas entre las interfaces de vpn de B y C.
Yo creo que con eso deberia funcionar.
En la fase 2 entre A y B, tienes que agregar como red local la red de C (en firewall de A)
En la fase 2 entre A y B, tienes que agregar como red remota la red de C (en firewall de B)
ruta en de red de C en Firewall de B
Los mismo entre A y C agregando la red de B, tanto en dominio de encripcion como ruta en firewall de red B en firewall de C.
Y por ultimo, politicas entre las interfaces de vpn de B y C.
Yo creo que con eso deberia funcionar.
Re: 3 VPN site-to-site
Hi, gracias por contestar.
Cuando dices meter en la fase 2, al menos en la interfaz de fortigate no deja crear más de una fase 2 por conexión IPSEC, no?
Un saludo
Cuando dices meter en la fase 2, al menos en la interfaz de fortigate no deja crear más de una fase 2 por conexión IPSEC, no?
Un saludo
Re: 3 VPN site-to-site
Vale, veo que si das a custom tunnel puedes agregar más fases 2.
Creo que lo he puesto como dijiste pero sigue sin funcionar.
EN la fase 2 entre A y B agregué como red local la de C y remota la propia de B
En la fase 2 entre A y C agregué como red local la de B y remota la propia de C
En el forti de B, conexión entre B y A, agrego una fase 2 con red local B y remota C
En el forti de C, conexión entre C y A, agrego una fase 2 con red local C y remota A
Políticas configuradas, pero siguen sin conectar.
Creo que lo he puesto como dijiste pero sigue sin funcionar.
EN la fase 2 entre A y B agregué como red local la de C y remota la propia de B
En la fase 2 entre A y C agregué como red local la de B y remota la propia de C
En el forti de B, conexión entre B y A, agrego una fase 2 con red local B y remota C
En el forti de C, conexión entre C y A, agrego una fase 2 con red local C y remota A
Políticas configuradas, pero siguen sin conectar.
Re: 3 VPN site-to-site
¿Alguna idea de que puede ser?
Re: 3 VPN site-to-site
Me parece que hay algo que esta mal. Pongamos el direccionamiento a ver si es asi como lo tienes.
10.10.1.0/24 Sede A
10.10.90.0/24 Sede B
10.20.1.0/24 Sede C
Por lo que dices, hoy por hoy desde el forti A hay 2 vpns IPSEC con Sede B y C. A lo ya configurado actualmente, que entiendo son vpn´s VPN basada en interface y no por politica.
Deberias agregar lo siguiente.
Forti A.
VPN entre A y B
Nueva Fase 2 Local Address Lan 10.20.1.0/24 Remote Address 10.10.90.0/24
VPN entre A y C
Nueva Fase 2 Local Address Lan 10.10.90.0/2424 Remote Address 10.10.90.0/24
Politicas
Interfaz origen VPN AyC Interfaz destino Destino VPN AyB
Interfaz origen VPN AyB Interfaz destino Destino VPN AyC
Forti B
Nueva Fase 2 Local Address 10.10.90.0/24 Remote Address 10.20.1.0/24
Ruta 10.20.1.0/24 para que se conozca por VPN AyB
Politicas
Interfaz origen --- Interfaz destino Destino VPN AyB
Interfaz origen VPN AyB Interfaz destino Destino ---
Forti C
Nueva Fase 2 Local Address 10.20.1.0/24 Remote Address 10.10.90.0/24
Ruta 10.10.90.0/24 para que se conozca por VPN AyC
Politicas
Interfaz origen --- Interfaz destino Destino VPN AyC
Interfaz origen VPN AyC Interfaz destino Destino ---
Espero haber sido claro y que funcione.
10.10.1.0/24 Sede A
10.10.90.0/24 Sede B
10.20.1.0/24 Sede C
Por lo que dices, hoy por hoy desde el forti A hay 2 vpns IPSEC con Sede B y C. A lo ya configurado actualmente, que entiendo son vpn´s VPN basada en interface y no por politica.
Deberias agregar lo siguiente.
Forti A.
VPN entre A y B
Nueva Fase 2 Local Address Lan 10.20.1.0/24 Remote Address 10.10.90.0/24
VPN entre A y C
Nueva Fase 2 Local Address Lan 10.10.90.0/2424 Remote Address 10.10.90.0/24
Politicas
Interfaz origen VPN AyC Interfaz destino Destino VPN AyB
Interfaz origen VPN AyB Interfaz destino Destino VPN AyC
Forti B
Nueva Fase 2 Local Address 10.10.90.0/24 Remote Address 10.20.1.0/24
Ruta 10.20.1.0/24 para que se conozca por VPN AyB
Politicas
Interfaz origen --- Interfaz destino Destino VPN AyB
Interfaz origen VPN AyB Interfaz destino Destino ---
Forti C
Nueva Fase 2 Local Address 10.20.1.0/24 Remote Address 10.10.90.0/24
Ruta 10.10.90.0/24 para que se conozca por VPN AyC
Politicas
Interfaz origen --- Interfaz destino Destino VPN AyC
Interfaz origen VPN AyC Interfaz destino Destino ---
Espero haber sido claro y que funcione.
Re: 3 VPN site-to-site
Pues parece que alguna política había creado mal, ahora me funciona al menos desde uno de los lados hasta el otro.
Me está pasando algo muy curioso, desde el punto B no llego a ningún lado a pesar de estar todo conectado.
Pero desde A o desde C llego sin problemas a B....no se si tengo algo activado en ese forti que esté bloqueando todo lo que sale...
Muchas gracias!!!! Me has sido de gran ayuda!!!
Ahora a ver si consigo que accedan a internet a través de la fibra de la sede A, gracias!!!
Me está pasando algo muy curioso, desde el punto B no llego a ningún lado a pesar de estar todo conectado.
Pero desde A o desde C llego sin problemas a B....no se si tengo algo activado en ese forti que esté bloqueando todo lo que sale...
Muchas gracias!!!! Me has sido de gran ayuda!!!
Ahora a ver si consigo que accedan a internet a través de la fibra de la sede A, gracias!!!
Re: 3 VPN site-to-site
Hola Ryoga,
Si usaste los selectors (o interesting traffic) en la phase2 como lo indico moler, no vas a poder hacer lo del internet desde A.
Basicamente los selectors dicen: Por este tunel solo pasa la Local address X a la remote address Y, lo demas lo descarto.
Yo sugeria controlar todo por medio de politicas y dejar los selectors en 0.0.0.0 o Any.. asi el tunel esta abierto, pero limitado a lo que tus politicas digan.
Saludos,
Garsa.
Si usaste los selectors (o interesting traffic) en la phase2 como lo indico moler, no vas a poder hacer lo del internet desde A.
Basicamente los selectors dicen: Por este tunel solo pasa la Local address X a la remote address Y, lo demas lo descarto.
Yo sugeria controlar todo por medio de politicas y dejar los selectors en 0.0.0.0 o Any.. asi el tunel esta abierto, pero limitado a lo que tus politicas digan.
Saludos,
Garsa.
Re: 3 VPN site-to-site
Hola Garsa.Garsa escribió: ↑13 Jun 2017, 16:32 Hola Ryoga,
Si usaste los selectors (o interesting traffic) en la phase2 como lo indico moler, no vas a poder hacer lo del internet desde A.
Basicamente los selectors dicen: Por este tunel solo pasa la Local address X a la remote address Y, lo demas lo descarto.
Yo sugeria controlar todo por medio de politicas y dejar los selectors en 0.0.0.0 o Any.. asi el tunel esta abierto, pero limitado a lo que tus politicas digan.
Saludos,
Garsa.
Efectivamente es como dices, en las fases 2, como red local de la SEDE A están puestos como 0.0.0.0/0 siendo controlados por políticas en esta misma SEDE A a donde accederán y dejando el paso libre para internet.
Tengo otra política en SEDE A, donde Origen son las 2 IPSEC (las de las otras 2 sedes), destino ALL, salida interface WAN1 (Fibra de la SEDE A) que es lo que debería funcionar.
Pero desde las SEDES B y C si preguntas por la IP 8.8.8.8 intenta salir por su propia wan1 y no por las IPSEC.
Re: 3 VPN site-to-site
okay.. miraste lo de las rutas?
En la SEDES_REMOTAS
-En ves de tener una política para Internet que diga (Interno SEDE B a Externo SEDE B) va a tener una que diga (Interno SEDE B a SEDE_A) con destino 0.0.0.0/0
-También debes tener una ruta que diga: para ir a 0.0.0.0/0 ve a la IPSEC Interfaz de SEDE A
NOTA: A veces he visto que la ruta para conectarse inicialmente al IPSEC en SEDE A es necesaria también. Así que asegúrate que antes de cambiar tu ruta por defecto (0.0.0.0/0 a SEDE A) tengas una ruta que diga: (para ir a la IP Publica SEDE A ve a la interfaz WAN o Externa de la SEDE_REMOTA (B o C)) Así te aseguras que el trafico para iniciar el IPSEC tunnel a SEDE A siempre tenga la ruta por medio de tu interfaz WAN o Externa en cada SEDE.
Nos puedes mostrar un screenshot de tus rutas estaticas?
Saludos,
garsa
En la SEDES_REMOTAS
-En ves de tener una política para Internet que diga (Interno SEDE B a Externo SEDE B) va a tener una que diga (Interno SEDE B a SEDE_A) con destino 0.0.0.0/0
-También debes tener una ruta que diga: para ir a 0.0.0.0/0 ve a la IPSEC Interfaz de SEDE A
NOTA: A veces he visto que la ruta para conectarse inicialmente al IPSEC en SEDE A es necesaria también. Así que asegúrate que antes de cambiar tu ruta por defecto (0.0.0.0/0 a SEDE A) tengas una ruta que diga: (para ir a la IP Publica SEDE A ve a la interfaz WAN o Externa de la SEDE_REMOTA (B o C)) Así te aseguras que el trafico para iniciar el IPSEC tunnel a SEDE A siempre tenga la ruta por medio de tu interfaz WAN o Externa en cada SEDE.
Nos puedes mostrar un screenshot de tus rutas estaticas?
Saludos,
garsa
Re: 3 VPN site-to-site
Pues finalmente me funcionó con lo que me dijiste Garsa, eso sí, probando sobre 2 fortis nuevos sin reglas anteriores ni nada, sobre el que necesito hacerlo no funciona e imagino que es por tema de rutas y políticas anteriores que afectan a ello.
Re: 3 VPN site-to-site
Hi Garsa,
Al final pude conectar a través de la IPSEC salir a internet por ahí a base de rutas estáticas y demás.
Mi problema seria el siguiente, si se cae dicha IPSEC, los PCs del forti satélite no tienen manera de salir a internet de manera automática, cierto?
Un saludo y gracias.
Al final pude conectar a través de la IPSEC salir a internet por ahí a base de rutas estáticas y demás.
Mi problema seria el siguiente, si se cae dicha IPSEC, los PCs del forti satélite no tienen manera de salir a internet de manera automática, cierto?
Un saludo y gracias.