Comunidad FORTIGATE.es

Web NO OFICIAL de soporte en español
https://www.fortigate.es/

vpn ipsec entre fortigates

https://www.fortigate.es/viewtopic.php?t=72

Página 1 de 1

vpn ipsec entre fortigates

Publicado: 24 Jul 2007, 11:43
por mario
Hola a todo el mundo!

Tengo que configurar una VPN IPSec entre dos fortigates y me han surgido las siguientes dudas, a ver si me podeis hechar una mano.

- Primera: ambos fortigates están conectados, por el puerto wan1, a un router. Cuando configuro la fase 1 en cada uno de de los fortigates, indico que el remote gateway es la IP pública que tiene el router de la otra subred. Supongo que hasta aquí bien, pero... debo realizar algún NAT en el router?

Supongo que tendré que redirijir la conexión VPN que llega a la IP pública del router hacia la IP del fortigate,no? A que puertos afecta la redirección?

-Segundo: todas las subredes que cuelgan de uno y otro fortigate, deben ser diferentes? Supongo que también, no tendría sentido tener la subred 192.168.0.1 colgando de ambos fortigates, por ejemplo...

Nada más. Espero vuestras sugerencias

Mario

Publicado: 24 Jul 2007, 13:50
por link
1º el remote gateway tienes que poner la ip pública del otro extremo de la vpn. (la ip del router remoto). en caso de que tengas ips publicas en la interfaz del firewall sería mas facil y no tendrías que redirigir ningun puerto desde el router al firewall y como gateway remota pondrías las ips publicas de lso firewalls.

en caso contrario ->

2º Dentro del IPSec puede seleccionar dos protocolos :
si utilizas AH (Authentification Header) se usarán el puerto 51,
si vas por ESP se usará el 50

los de negociación de IKE (500 UDP). Si no vas por ESP y encapsulas en NAT-T los 4500 UDP.
La configuración más habitual es ESP.

3º las subredes locales tienen que ser diferente en ambos fortigates sino no hay vpn que valga.

un saludo

Publicado: 24 Jul 2007, 14:55
por mario
Y si establezco una conexión VPN SSL client-to-site en un escenario similar, que puertos debo redirijir en el router?

Supongo que, para empezar, el 10443 que es el puerto en el que escucha el servidor web que incorpora el fortigte y que permite loguearnos. Y luego? redirijo también el 443?

Gracias por contestar y salud!!

Rta

Publicado: 25 Jul 2007, 02:01
por javier_n26
hola

no tienes necesidad de redirigir esos puertos

Publicado: 25 Jul 2007, 09:44
por link
si no rediriges estos puertos a la ip del firewall como pretendes que te conteste el router cuando apuntes a la ip publica de la red ?

hay que redirigirlos

un saludo

Publicado: 25 Jul 2007, 11:04
por mario
Gracias por la ayuda!! mario
Todos los horarios son UTC+02:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España