Hola buenos días a todos.
Tengo una duda acerca de la creación de VPN IPsec.
Cuento con una casa central y 5 sitios remotos. Todos los sitios cuentan con IP estática
En casa central tengo un 100D y en los 5 sitios remotos son todos 60D.
Es posible crear en casa central una única VPN y que los sitios remotos se conecten?
Hoy tengo 2 VPN (site-to-site) a lo que me lleva obviamente a tener 2 policies por sitio. Se puede simplificar el trabajo de alguna forma?
Muchas gracias.
Diego.
VPN múltiples sites
Re: VPN múltiples sites
hola, vpn tendras tantas como remotos tengas.
pero podrias hacer una zona (interface adminitsrativa) de vpns y agregar todas las interfaces virtuales de vpn ahi dentro.
Para que luego menejes una politica desde la zona hacia la red local de tu 100d y viceversa.
Con esto logras tener menos politicas de vpn.
saludos.
pero podrias hacer una zona (interface adminitsrativa) de vpns y agregar todas las interfaces virtuales de vpn ahi dentro.
Para que luego menejes una politica desde la zona hacia la red local de tu 100d y viceversa.
Con esto logras tener menos politicas de vpn.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN múltiples sites
Gaby, muchas gracias por el pique, efectivamente lo pude hacer perfecto.
Tengo un segundo problema de hace un tiempo a ver si me podés ayudar a resolver (le di mil vueltas).
Sitio Central (Forti 100D).
WAN1: IP Estática
Port1: Red Interna - 10.208.100.0/24
Port2: Central IP - 10.208.200.0/24
Sitio Remoto 1 (Forti 60D)
WAN1: IP Estática
Port1: Red Interna - 10.208.81.0/24
En el sitio remoto tengo una VPN (cómo comento arriba) contral Central.
Tengo ruteo estático hacia la red 10.208.0.0/16 por la interfaz VPN y reglas que permiten el tráfico desde: VPN > Central y viceversa
Llego perfecto a todos los servicios de la red 10.208.100.0, pero no llego a la red 10.208.200.0.
En el Forti Central tengo 2 policies que permito el tráfico desde la zona VPN > Internal y viceversa y llego a la red remota 10.208.81.0.
El problema es que desde el sitio remoto, necesito llegar a los servicios de la red 10.208.200.0, de la forma que hasta ahora lo he podido hacer funcionar, es crear una regla que permita el tráfico desde VPN to Port2 en central, el tema que cuándo hago esto, las reglas del forti se desarman, me deshabilita el modo "Section View" por "Global view" y es un caos para ubicar las cosas, siendo que tengo 20 reglas, hay alguna otra forma de rutear los remotos a la red 200 más sencilla? sinceramente estoy nublado con este tema, no le encuentro la vuelta de hace días.
Cualquier pique o sugerencia que me puedas pasar, te agradezco.
Saludos y una vez más, muchas gracias!
Diego.
Tengo un segundo problema de hace un tiempo a ver si me podés ayudar a resolver (le di mil vueltas).
Sitio Central (Forti 100D).
WAN1: IP Estática
Port1: Red Interna - 10.208.100.0/24
Port2: Central IP - 10.208.200.0/24
Sitio Remoto 1 (Forti 60D)
WAN1: IP Estática
Port1: Red Interna - 10.208.81.0/24
En el sitio remoto tengo una VPN (cómo comento arriba) contral Central.
Tengo ruteo estático hacia la red 10.208.0.0/16 por la interfaz VPN y reglas que permiten el tráfico desde: VPN > Central y viceversa
Llego perfecto a todos los servicios de la red 10.208.100.0, pero no llego a la red 10.208.200.0.
En el Forti Central tengo 2 policies que permito el tráfico desde la zona VPN > Internal y viceversa y llego a la red remota 10.208.81.0.
El problema es que desde el sitio remoto, necesito llegar a los servicios de la red 10.208.200.0, de la forma que hasta ahora lo he podido hacer funcionar, es crear una regla que permita el tráfico desde VPN to Port2 en central, el tema que cuándo hago esto, las reglas del forti se desarman, me deshabilita el modo "Section View" por "Global view" y es un caos para ubicar las cosas, siendo que tengo 20 reglas, hay alguna otra forma de rutear los remotos a la red 200 más sencilla? sinceramente estoy nublado con este tema, no le encuentro la vuelta de hace días.
Cualquier pique o sugerencia que me puedas pasar, te agradezco.
Saludos y una vez más, muchas gracias!
Diego.
Re: VPN múltiples sites
hola, tendras 2 politicas o como mucho 4 (ida y vuelta)
una desde la zona_vpn -> port1 y otra desde la zona_vpn -> port2
y la vuelta.
no me queda claro que falta?
saludos.
una desde la zona_vpn -> port1 y otra desde la zona_vpn -> port2
y la vuelta.
no me queda claro que falta?
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
Re: VPN múltiples sites
Gaby, gracias por responder.
Así es como lo tengo y está funcionando, yo pensaba que desde la configuración de los tuneles ya lo podía "rutear" hacia la red 200.0...
Como decís bien tengo en 2 políticias de la siguiente manera:
Policy 1:
internal to port2
zona_vpn to port 2
Policy 2:
port2 to internal
port2 to zona_vpn
Lo que te comentaba que al realizar esta configuración, automáticamente la vista de las políticas cambiaron, veo las políticas de forma Global, me aparece un mensaje que "Section View is current disable", en teoría las causas son porque hay más de una política que utiliza multiples source o destination... hay forma de forzar para habilitar Section View??
Abrazo y muchas gracias por tus piques, pude resolver todos mis problemas.
Saludos,
Diego.
Así es como lo tengo y está funcionando, yo pensaba que desde la configuración de los tuneles ya lo podía "rutear" hacia la red 200.0...
Como decís bien tengo en 2 políticias de la siguiente manera:
Policy 1:
internal to port2
zona_vpn to port 2
Policy 2:
port2 to internal
port2 to zona_vpn
Lo que te comentaba que al realizar esta configuración, automáticamente la vista de las políticas cambiaron, veo las políticas de forma Global, me aparece un mensaje que "Section View is current disable", en teoría las causas son porque hay más de una política que utiliza multiples source o destination... hay forma de forzar para habilitar Section View??
Abrazo y muchas gracias por tus piques, pude resolver todos mis problemas.
Saludos,
Diego.
Re: VPN múltiples sites
hola, porque seguramente en alguna politica pusiste como destino u origen o las 2 mas de 1 interface.
sacala y generta una politica con origen y destino 1 sola interface.
saludos.
sacala y generta una politica con origen y destino 1 sola interface.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst