Ayuda VPN Fortigate 100A

[cmedina]

hola a todos les cuento soy nuevo con el tema de firewall y en mi empresa me pidieron instalar una vpn para los usuarios remotos estube revisando la pagina pero no hay nada muy concreto les cuento ya revisa la pagina de bujarra.com y estuve configurando las vpn SSL y VPN IPSEC pero ninguna me funca hay alguien que me pueda ayudar con este tema o hay algo que estoy haciendo mal.

saludos a todos y gracias.

[gabyrossi]

Hola, como estas? Para saber que fue lo que hiciste contanos como configuraste. asi podemos ayudarte mejor.

que firmware tenes en el fortigate?

saludos
Gabriel

[cmedina]

Gabriel gracias por responder te cuento trate de realizar la configuracion por VPN-SSL y VPN IPESEC ambas configuraciones las baje desde el sitio de bujarra pero ninguna me funciono mi equipos es un fortigate 100a y su Firmware Version Fortigate-100A 3.00-b0568(MR5 Patch 3)

[cmedina]

Otra Cosa el cliente VPN es el Forticlient V4.0 la descarga de internet podria ser ese el problema ya que los manuales que bajo no tienen la mismas pantallas.

saludos y gracias.

[gabyrossi]

Hola, La vpn ssl cambio la configuracion a partir de mr6 en adelante.

Bujarra muchas veces no esta completo y algunas cosas desactualizadas.

contanos o copia la configuracion y la revisamos

para tu mr5 patch3: (podrias actulizarlo al ultima patch de mr5)

tenes que armar usarios y un grupo ssl agregando los usuarios ahi.

Luego configuras la vpn ssl, dandole una red diferente a la de tu interna.

luego armas la politica de wan a internal con accion vpn ssl y agregand el grupo


y listo

saludos
Gabriel

[cmedina]

Gabriel y si actualizo el finware no habria cambio con mis otras VPN site to site y las policitas credas a los segmentos de mis vlans.

saludos.

[cmedina]

Gabriel y si actualizo el finware no habria cambio con mis otras VPN site to site y las policitas credas a los segmentos de mis vlans. Podria antes realizar algun tipo de backup que me permita volver a tras en caso de haber algun problema.


saludos.

[gabyrossi]

Hola, como estas? si lo actulizas al ultimo patch de mr5 no vas a tener problemas.
el tema es si pasas a mr6 o mr7.

siempre antes de actulizar haces un backup de configuracion

saludos
gabriel

[cmedina]

hola gabriel y gracias por responder, entonces realizare un backup de la configuracion.

luego de realizar el backup que version es la que me recomiendas te cuento este firewall proteje 5 vlans, las cuales cada una se encuentra con tipos de reglas diferentes ya sea que un segmento espefico no pueda ver ciertos servidores o que no puedan ver ciertos segmentos, cosas asi es no se modificaria si actualizo.

de todas maneras realizare un backup.

saludos.

[gabyrossi]

Hola, como estas? si tenes mr5, podrias actualizarlo a mr5 patch 7 creo que es el ulimo patch de mr5.

Lo ideal seria qyue lo lleves a mr7, pero ahi te van a cambiar varias cosas:

ips
lista antispam : por ip y por dominios y por palabras
lista de urls
vpn ssl

si tenes algo de eso activo, se van a modificar y hay quye tener cuidado y volver a revisarlo.

siempre antes una actulizacion lee el release note (pdf) que viene en cada firmware que dice que cosas nuevas hubo o que arrgelos se hicieron y lo mas importante que es lo que tenes que hacer para pasar de un firmware a otro(recaudos)
si vos quisieras pasarlo desde tu mr5 patch3 , primero deberias pasarlo al ultmo patch de mr5, luego al primer path de mr6, luego al ultimo de mr6 y luego al ultimo patch de mr7.

saludos
Gabriel

[cmedina]

gabriel de donde puedo descargar el firmware para actualizar el firewall ya he realizo el backup pero no he conseguido actualizar el firewall.

de ante mano muchas gracias por tu ayuda.

[cmedina]

gabriel, ya realice la actualizacion a la version 5 ahora como hago para levantar un VPN a los clientes Remotos.

saludos.

[gabyrossi]

Hola, como estas? Empecemos de nuevo. Con que firmware lo dejaste? que es lo que necesitas ahcer ahora? y ya tenes configurado algo?

saludos

[cmedina]

es el Fortigate-100A 3.00-b0677(MR6 Patch 5), configure una vpn por ipsec te paso a describir la configuración:

Ipsec -> phase1 name: vpn, remote gateway: dialup user,local Interface: Wan1, Mode: Main (ID Protection), Authentication:
preshared,peer option: accept any peers ID

Luego en Phase 2 -> name: vpn2, phase1: vpn Autokey Keep Alive Enable
DHCP-IPsec Enable

en firewall creo la siguiente politica New Policy

source interface: internal
source address: all
destination interface: wan1
source address: all
service: any
action: ipesec
vpn tunnel: vpn
Allow inbound (enable) Inbound NAT (Enable)
Allow outbound (Enable) Outbound NAT (Enable)

primera consulta: por que cuando me posiciono sobre la vpn creada el remote gateway me sale que es 0.0.0.0, es por el tipo de configuracion, como debo realizar la configuracion cliente ya que estube probando con el cliente de microsoft y no funciono bueno eso es lo que realice pero no me funciona. de ante manos muchas gracias.

[gabyrossi]

Hola, estas confundiendo un poco lo que es ipsec con cliente de microsoft que es pptp.

te dejo unos link para que leas y luego trates de configurar lo que necesites hacer. y si tenes alguna duda puntual lo vemos.Seria muy largo de explicar tooodo por aca.

[Debes identificarte para poder ver enlaces.]

hay distintas formas de armar vpn, dependiendo desde donde y desde que equipo la vas a armar en el otro extremo

vpn ipsec -> fortigate contra fortigate, fortigate contra otra marca, o fortigate contra un forticlient.
vpn ssl
pptp


saludos
Gabriel