FortiGate - Configuracin de VPN IPSec Redundantes

FortiGate - How to Setup Redundant IPSec VPN

FortiOS Modelo Condicin V.4.0 MR2 Todos los modelos que soportan v3.00 y v4.00 Tener al menos 2 FGs con 2 Enlaces de Internet

Como ya es sabido, todos los equipos FortiGates nos permiten hacer VPN en IPSec, de tal forma que podemos interconectar redes locales a traves del Internet usando este comando. Dentro de los esquemas de interconexin se soportan los siguiente: Site-to-Site, Site-to-Client y nomenclaturas como: Hub & Spoke (todas contra una) y Full-meshed (todas contra todas). Adems, los FortiGates nos permiten crear VPNs en una modalidad de Tunnel y tambien en Modo Interface La Tecnologa de Redes Privadas Virtuales ( VPN ) nos permite interconectar dispositivos de red, de forma segura, utilizando como medio el Acceso al Internet, pero garantizando la integridad y la seguridad de los datos. Esta gua es solo una; de varias que nos hemos propuesto realizar para dar los "paso a paso" de cmo implementar VPNs a trave de IPSec como tambin por SSL. Para este caso explicaremos cmo hacer una VPN de tipo Site-to-Site redundantes, utilizando dos FortiGates pero con modalidad "Interface mode". *** Al final de esta Gua aparecen los enlaces para ver las otras implementaciones posibles. ***

Cuando la opcin de VPN en "Modo Interface" es habilitada, el FortiGate crea una Interface virtual en la inteface Fsica que hayamos seleccionado (Local Interface) a travs de la cual, podremos hace ruteo esttico, politcas basadas en ruteo y/o hasta

pasar OSPF sobre dichas VPNs. El lab, que haremos para este caso tiene un cierto grado de dificultad (ver figura 1) ya que intentaremos crear 2 VPNs las cuales estarn en activas y haciendo "Load Sharing" pero a la vez, tendremos otras 2 VPN entre estos mismo sitios, las cuales sern redundates de las principales , por lo tanto es necesario realizar los siguientes pasos: FG-200A: - Configuracin las Interfaces donde crearemos las VPNs - Configuracin de la fase 1 para cada uno de los cuatro posibles caminos - Configuracin de la fase 2 para cada uno de los cuatro posibles caminos - Configuracin de Rutas para las cuatro interfaces virtuales de IPSec - Configuracin de las Polticas necesarias para tanto de trfico entrante como saliente para todas las Interfaces IPSec FG-100A - Configuracin - Configuracin - Configuracin - Configuracin - Configuracin Figura 1: las Interfaces donde crearemos las VPNs de la fase 1 para cada uno de los cuatro posibles caminos de la fase 2 para cada uno de los cuatro posibles caminos de Rutas para las cuatro interfaces virtuales de IPSec de las Polticas necesarias para tanto de trfico entrante como saliente para todas las Interfaces IPSec

PROCEDIMIENTO Configurando el FortiGate SitioA Paso 1: Configuracin las Interfaces donde crearemos las VPNs Dentro de System >> Network >> Interface configuraremos las Intefaces "Internal" y "WAN1" (ver figura 2), que seran las que estarn involucradas en las VPNs. Para la Internal: Figura 2.

Para la WAN1: Figura 3.

Para la WAN2: Figura 4.

Paso 2: Configuracin de la fase 1 para cada uno de los cuatro posibles caminos Las configuraciones de Fase1 las haremos desde: VPN >> IPSec >> Auto Key (IKE) >> Create Phase 1 Para una explicacin de cada una de las funciones de VPN, en fase I y II, pueden entrar a esta gua en donde se explican cada una de estas Primera Fase 1 para la WAN1: Creando la VPN entre Ambos FortiGates para la WAN1 Figura 5.

Segunda Fase 1, para la WAN1: Creando la VPN de redundancia entre la WAN1 del "SitioA" hacia la WAN2 del FortiGate de "SitioB" Figura 6.

Creando fase 1, para WAN2: Creando la VPN entre Ambos FortiGates para la WAN2 Figura 7.

Creando fase 1, para la WAN2: Creando la VPN de redundancia entre la WAN2 del "SitioA" hacia la WAN1 del FortiGate de "SitioB" Figura 8.

Paso 3: Configuracin de la fase 2 para cada uno de los cuatro posibles caminos Configurando la fase 2, para cada uno de los fase 1 que hemos creado, lo cual haremos desde: VPN >> IPSec >> Auto Key (IKE) >> Create Phase 2 En las fases II, ser donde seleccionaremos cada una de las Fase I, que hayamos creado Fase II: para fase 1 "SitioA-SitioB" Figura 9.

Fase II: Para Fase 1 "SitioA-SitioB-2" Figura 10.

Fase II: Para Fase 1 "SitioA-SitioB-3" Figura 11.

Fase II: Para Fase 1 "SitioA-SitioB-4" Figura 12.

Paso 4: Configuracin de Rutas para las cuatro interfaces virtuales de IPSec La configuracin de las rutas estticas, las hacemos desde: Router >> Static >> Static Route Primera ruta esttica por la Interface virtual IPSec "SitioA-SitioB" con distancia 10 Figura 13.

Segunda ruta esttica por la Interface virtual IPSec "SitioA-SitioB-2" con distancia 20, la cual ser solo para el caso de requerirse redundancia Figura 14.

Tercera ruta esttica por la Interface virtual IPSec "SitioA-SitioB-3" con distancia 10 Figura 15.

Cuarta ruta esttica por la Interface virtual IPSec "SitioA-SitioB-4" con distancia 20 Figura 16.

Paso 5:

Configuracin de las Polticas necesarias para tanto de trfico entrante como saliente para todas las Interfaces

En este punto, es necesario, declarar los "objetos" de Direcciones IP tanto para la Red "LAN Local", como para la Red "LAN

Remota". Esto lo hacemos dentro de: Firewall >> Address >> Address > Create New Ver figura 17 y 18. Paso que debemos repetir para crear ambos objetos de redes. Figura 17.

Figura 18.

En este punto, creamos todas las polticas necesarias, entre las Interfaces virtuales IPSec y las Interfaces locales para/desde las cuales queremos permitir trfico de las VPNs. Las poltas de Firewall las crearemos navegando en: Firewall >> Policy >> Policy >> Create New

Politica entre las interfaces Internal y SitioA-SitioB Figura 19.

Politica entre las interfaces SitioA-SitioB e Internal Figura 20

Politica entre las interfaces Internal y SitioA-SitioB-2 Figura 21.

Politica entre las interfaces SitioA-SitioB-2 e Internal Figura 22.

Politica entre las interfaces Internal y SitioA-SitioB-3 Figura 23.

Politica entre las interfaces SitioA-SitioB-3 e Internal Figura 24.

Politica entre las interfaces Internal y SitioA-SitioB-4 Figura 25.

Politica entre las interfaces SitioA-SitioB-4 e Internal Figura 26.

Configurando el FortiGate SitioB Paso 6: Configuracin las Interfaces donde crearemos las VPNs Ver procedimiento Paso 1 Para la Internal Figura 27.

Para la WAN1 Figura 28.

Para la WAN2 Figura 29.

Paso 7: Configuracin de la fase 1 para cada uno de los cuatro posibles caminos Primera fase 1, para la WAN1 Figura 30

Segunda fase 1, para la WAN1 Figura 31

Tercera fase 1, para la WAN2 Figura 32

Cuarta fase 1, para la WAN2 Figura 33

Paso 8: Configuracin de la fase 2 para cada uno de los cuatro posibles caminos Ahora nos toca asociar cada una de las Fases I creadas, a las Fases II, para lo cual vamos a: VPN >> IPSec >> Auto Key (IKE) >> Create New Creando primera fase 2, para WAN1 Figura 34.

Creando segunda fase 2, para WAN1 Figura 35.

Creando tercera fase 2, para WAN2 Figura 36.

Creando cuarta fase 2, para WAN2 Figura 37.

Paso 9: Configuracin de Rutas para las cuatro interfaces virtuales de IPSec Creamos ahora las rutas para el envo de trafico por las interfaces Virtuales de IPsec desde: Router >> Static >> Create New Primera ruta esttica por la Interface virtual IPSec "SitioB-SitioA" con distancia 10 Figura 38.

Segunda ruta esttica por la Interface virtual IPSec "SitioB-SitioA-2" con distancia 10 Figura 39.

Tercera ruta esttica por la Interface virtual IPSec "SitioB-SitioA-3" con distancia 10 Figura 40.

Cuarta ruta esttica por la Interface virtual IPSec "SitioB-SitioA-4" con distancia 10 Figura 41.

Paso 10:

Configuracin de las Polticas necesarias para tanto de trfico entrante como saliente para todas las Interfaces

Configuramos ahora los objetos de Direcciones IP para la Red Local y la Red Remota: Firewall >> Address >> Address > Create New Creando Objeto Red Local: Figura 42

Creando Objeto Red Remota: Figura 43.

Seguidamente Creamos las Polticas de Firewall entre todas las Interfaces involucradas. Firewall >> Policy >> Policy >> Create New Politica entre las interfaces Internal y SitioB-SitioA Figura 44.

Politica entre las interfaces SitioB-SitioA e Internal Figura 45

Politica entre las interfaces Internal y SitioB-SitioA-2 Figura 46

Politica entre las interfaces SitioB-SitioA-2 e Internal Figura 47

Politica entre las interfaces Internal y SitioB-SitioA-3 Figura 48

Politica entre las interfaces SitioB-SitioA-3 e Internal Figura 49

Politica entre las interfaces Internal y SitioB-SitioA-4 Figura 50

Politica entre las interfaces SitioB-SitioA-4 e Internal Figura 51.

Monitoreo y Diagnstico A travs de la GUI, visualizar algunos status de los tuneles, como se muestra en la figura 16. Aunque se puede tener detalles mas completos a en la seccin de Log&Report >> Log Access >> Event Figura 16:

Por la CLI podremos tener informacin mucho mas especfica, a traves de los siguientes comandos:
diagnose debug enable diagnose debug application ike 1

Los cuales solo deben estar habilitados mientras estamos haciendo diagnostico, luego se debe de desabilitar el debug Haciendo ping desde un Equipo de la LAN Remota hacia la Red Local del Dialup Server:
ping 172.16.2.1

PING 172.16.2.1 (172.16.2.1): 56 data bytes 64 bytes from 172.16.2.1: icmp_seq=0 ttl=255 64 bytes from 172.16.2.1: icmp_seq=1 ttl=255 64 bytes from 172.16.2.1: icmp_seq=2 ttl=255 64 bytes from 172.16.2.1: icmp_seq=3 ttl=255 64 bytes from 172.16.2.1: icmp_seq=4 ttl=255

time=1.2 time=0.5 time=0.4 time=0.5 time=0.4

ms ms ms ms ms

Realacionados : Configuracin de VPN Dialup User (FortiClient) Configuracin de VPN Dialup Client - Policy-based Configuracin de VPN IPSec en Interface Mode Configuracin de VPN IPSEC de Fortigate a Fortigate modo Tnel Configuracin de VPN con Dynamic DNS Configuracin de VPN FortiGate Dialup Client Creacin de una VPN SSL en Fortigate versin 4.0 Configuracin de VPN IPSec con FortiCliente - Policy Server Referencias: http://kb.fortinet.com http://docs.fortinet.com/ You can view this article online at: http://www.soportejm.com.sv/kb/index.php/article/ipsecdualwan