Buen día.
Es grato para mi el haber encontrado este foro, ya que tengo una gran duda sobre poder configurar una VPN IPsec basada en rutas.
Tengo un Fortigate 3810A configurado de la siguiente forma:
Un puerto WAN (outside) que saca todo mi tráfico hacia internet.
Un puerto (5) con 7 VLAN en donde tengo alojado todos mis servidores:
VLAN 12, 13, 16, 41, 43, 45 y 100.
En algunas VLAN los servidores detras del firewall se dejan ver en internet a traves de Virtual IP. Por ejemplo:
Vlan 43 protege 5 servidores DNS que estan con el paso de IP pública a Privada.
He estado realizando pruebas para poder configurar una VPN de modo que pueda yo desde mi casa (Dial-up) tener acceso a todos los servidores en cada VLAN. Probé con VPN IPsec policy-based por la ventaja de contar con DHCP para cada conexión, pero no encontré la manera de hacer que la VPN pueda acceder a todas las 7 VLAN que tengo configuradas ¿Se puede lograr esto?.
Por lo que he leído sobre mi necesidad, la VPN que funcionaria para ello seria basada en rutas, el problema de ésto, es que no he encontrado la suficiente documentacion para hacerlo bién No importa si no me entrega DHCP.
Podrian ayudarme con un ejemplo básico para poder configurar una VPN de este tipo...o hay otra forma?
Estaré atento a la informacion que me puedan dar.
Gracias.
IPsec VPN route-based
Re: IPsec VPN route-based
hola, como estas? Seria bastante complicado explicar eso por aca.
pudiste leer la guia de vpn ???
te dejo el link:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
pudiste leer la guia de vpn ???
te dejo el link:
[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: IPsec VPN route-based
Saludos gabyrossi!!
Agradezco tu inmediata respuesta.
Pues mirate que ya he leido cuanto documento he encontrado en internet. Pero si te puedo decir que tengo indicios de como debe ser:
Al configurar la VPN le selecciono en la primera fase para que trabaje como una interface, al hacer ésto técnicamente deberia trabajar como cualquier puerto de red pero como una subinterface. De esta manera tengo la seguridad de que puedo realizar enrutamiento entre VLAN...el problema es que en ningún lado he visto de que manera configuro la interface en SYSTEM//NETWORK porque si has visto sale:
IP ()
IP REMOTE ()
Cosa que no tengo idea de a que se refiere.
No deberia de ser complicado. Puedes ayudarme?
Agradezco tu inmediata respuesta.
Pues mirate que ya he leido cuanto documento he encontrado en internet. Pero si te puedo decir que tengo indicios de como debe ser:
Al configurar la VPN le selecciono en la primera fase para que trabaje como una interface, al hacer ésto técnicamente deberia trabajar como cualquier puerto de red pero como una subinterface. De esta manera tengo la seguridad de que puedo realizar enrutamiento entre VLAN...el problema es que en ningún lado he visto de que manera configuro la interface en SYSTEM//NETWORK porque si has visto sale:
IP ()
IP REMOTE ()
Cosa que no tengo idea de a que se refiere.
No deberia de ser complicado. Puedes ayudarme?
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: IPsec VPN route-based
Les adjunto este doc en donde les muestro como lo pensaba hacer.
Re: IPsec VPN route-based
hola, como estas? en la primera fase se pone la interface wan que tenes conectada internet.
si ponen la configuracion de vpn, ruteo y politicas les digo que es lo que les falta o que modificar.
saludos
Gabriel
si ponen la configuracion de vpn, ruteo y politicas les digo que es lo que les falta o que modificar.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: IPsec VPN route-based
Saludos!.
Esta es la configuracion que estuve probando:
1. Primero que todo tengo creado un usuario local (Mi usuario), con el cual probaré la VPN y luego lo meto en un User Group.
2. Luego creo la primera fase de la VPN:
- Name = vpnp1
- Dial-up user.
- Local interface = (WAN).
- Mode Main = (ID protection)
- Authentication Method = Preshared Key
- Accept Any peer ID.
- Enable IPsec Interface Mode = Enable
- Local Gateway IP = Main Interface IP
- Enable as server = enable
Los demás datos los dejo por defecto.
3. Creo la fase 2:
- Name vpnp2.
- Phase 1 = vpnp1
- Autokey keep alive = enable.
Igualmente los otros datos quedan por defecto.
4. Luego veo que en System//Network//Interface se crea una subinterface con el nombre de la fase 1 de la VPN (vpnp1).
Y es en esta parte en donde me quedo, porque no se como debe ir la configuracion de esta interface ni de que manera debe ser la política para poder realizar la autenticación del ususario.
Agradezco tu atención.
Esta es la configuracion que estuve probando:
1. Primero que todo tengo creado un usuario local (Mi usuario), con el cual probaré la VPN y luego lo meto en un User Group.
2. Luego creo la primera fase de la VPN:
- Name = vpnp1
- Dial-up user.
- Local interface = (WAN).
- Mode Main = (ID protection)
- Authentication Method = Preshared Key
- Accept Any peer ID.
- Enable IPsec Interface Mode = Enable
- Local Gateway IP = Main Interface IP
- Enable as server = enable
Los demás datos los dejo por defecto.
3. Creo la fase 2:
- Name vpnp2.
- Phase 1 = vpnp1
- Autokey keep alive = enable.
Igualmente los otros datos quedan por defecto.
4. Luego veo que en System//Network//Interface se crea una subinterface con el nombre de la fase 1 de la VPN (vpnp1).
Y es en esta parte en donde me quedo, porque no se como debe ir la configuracion de esta interface ni de que manera debe ser la política para poder realizar la autenticación del ususario.
Agradezco tu atención.
Re: IPsec VPN route-based
Hola, como estas?
Mira te pego la confi basica que "SI ANDA" porque la acabo de probar. Faltaria agregarle que autentique el grupo de usuario.
config vpn ipsec phase1-interface
edit "prueba"
set type dynamic
set interface "wan1"
set dpd enable
set nattraversal enable
set proposal 3des-sha1 3des-md5
set psksecret ENC NBTMWQNVKRHx34iBOjgDTx4wJXUDS39JRXhVsVIP/Yn3P5kDqEQJP+N+
next
end
config vpn ipsec phase2-interface
edit "prueba"
set keepalive enable
set pfs enable
set phase1name "prueba"
set proposal 3des-sha1 3des-md5
set replay enable
next
end
politica de vpn:
edit 10
set srcintf "internal"
set dstintf "prueba"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
edit 11
set srcintf "prueba"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
no hace falta que agregues ninguna interface ni zona, ni nada.
en el forticlient, configuras la ip de tu fortigate, la psksecret, y en advanced . luego config tildas autokey keep alive si lo tildaste en la vpn phase2.Tambien deberas tildas en advanced tildar extended authenthication si vas usar el grupo de usuario
saludos
Gabriel
Mira te pego la confi basica que "SI ANDA" porque la acabo de probar. Faltaria agregarle que autentique el grupo de usuario.
config vpn ipsec phase1-interface
edit "prueba"
set type dynamic
set interface "wan1"
set dpd enable
set nattraversal enable
set proposal 3des-sha1 3des-md5
set psksecret ENC NBTMWQNVKRHx34iBOjgDTx4wJXUDS39JRXhVsVIP/Yn3P5kDqEQJP+N+
next
end
config vpn ipsec phase2-interface
edit "prueba"
set keepalive enable
set pfs enable
set phase1name "prueba"
set proposal 3des-sha1 3des-md5
set replay enable
next
end
politica de vpn:
edit 10
set srcintf "internal"
set dstintf "prueba"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
edit 11
set srcintf "prueba"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
next
no hace falta que agregues ninguna interface ni zona, ni nada.
en el forticlient, configuras la ip de tu fortigate, la psksecret, y en advanced . luego config tildas autokey keep alive si lo tildaste en la vpn phase2.Tambien deberas tildas en advanced tildar extended authenthication si vas usar el grupo de usuario
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: IPsec VPN route-based
HOLA!
Gracias por la configuracion que me mandaste! la verdad funciona correctamente si la política la dirijo de la VPN hacia una interface o VLAN específica pero de ahí no sale. Y tengo dos preguntas.
Revisé desde el usuario que se conecta a la VPN con ipconfig y me aparece la VIP que le asigné manualmente en el forticlient pero la puerta de enlace no veo en donde configurarle creería yo que es por esto, asi que le configuré la ip y gw manualmente en la interface virtual que crea el forticlient en windows....pero aún asi no funciona.
Luego fuí hasta el fortigate y cree una Zona para ver si así funciona. Pero sigue sin funcionar.
Mi pregunta es, ... cuando probaste la configuracion que me escribiste, desde el usuario te pasaba de interface a vlan o mas específicamente de red en red?
No falta mucho agradezco tu informacion!.
Gracias por la configuracion que me mandaste! la verdad funciona correctamente si la política la dirijo de la VPN hacia una interface o VLAN específica pero de ahí no sale. Y tengo dos preguntas.
Revisé desde el usuario que se conecta a la VPN con ipconfig y me aparece la VIP que le asigné manualmente en el forticlient pero la puerta de enlace no veo en donde configurarle creería yo que es por esto, asi que le configuré la ip y gw manualmente en la interface virtual que crea el forticlient en windows....pero aún asi no funciona.
Luego fuí hasta el fortigate y cree una Zona para ver si así funciona. Pero sigue sin funcionar.
Mi pregunta es, ... cuando probaste la configuracion que me escribiste, desde el usuario te pasaba de interface a vlan o mas específicamente de red en red?
No falta mucho agradezco tu informacion!.
Re: IPsec VPN route-based
Hola, como estas? No entiendo que no puedes configurar del forticlient?
No probe con vlan, porque no tengo armada ninguna.
pero deberia funcionar, o poner alguna ruta....
sino armar la vpn del otro modo, asi le asiganas ip por dhcp y asi podes armar porliticas ruteo en base a la ip del forticlient.
saludos
Gabriel
No probe con vlan, porque no tengo armada ninguna.
pero deberia funcionar, o poner alguna ruta....
sino armar la vpn del otro modo, asi le asiganas ip por dhcp y asi podes armar porliticas ruteo en base a la ip del forticlient.
saludos
Gabriel
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
camilo.villota
- Mensajes: 41
- Registrado: 15 Dic 2008, 17:39
Re: IPsec VPN route-based (SOLUCIONADO)
Que tal Gabriel!
Luego de tanto hacer pruebas...POR FIN!...solo me queda un detalle de rutas que solucionar pero no creo que sea nada del otro mundo.
La configuracion que me diste es lo que necesitaba.
Gracias!
Luego de tanto hacer pruebas...POR FIN!...solo me queda un detalle de rutas que solucionar pero no creo que sea nada del otro mundo.
La configuracion que me diste es lo que necesitaba.
Gracias!
Re: IPsec VPN route-based
Hola !! buenisimo...
cualquier cosa, aqui estaremos
saludos
cualquier cosa, aqui estaremos
saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst