configurando vpn ipsec forticlient - fortigate 100d
Post on 03-Aug-2015
203 Views
Preview:
TRANSCRIPT
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
LABORATORIO FORTINET
Configurando VPN IPSec FortiClient
FortiGate 100D v5.2.3
Esta guía tiene el objetivo de registrar la configuración completa de una VPN, en un dispositivo
FortiNet FortiGate-100D utilizando el cliente FortiClient para la conexión de los usuarios a la red,
todo el tráfico ira encriptado mediante IPSec.
Partimos de un FortiGate 100D configurado de manera básica, ya en producción en una LAN de 60
equipos aprox. Después de esto:
CONFIGURACIONES DEL DISPOSITIVO PARA LA GUA
Firmware v5.2.3
Grupos de usuarios sincronizados con el Active Directory utilizando el FSSO de FortiNet.
El FortiGate 100D tiene activos los filtros UTM
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
1. Login en el FortiGate 100D (v5.2.3), entramos a “Policy & Objects” – Clic en “Objetos” –
Clic en “Dirección”
2. Al lado derecho del menú comenzamos a trabajar, clic en “Create New”
Escribe el nombre de la dirección – En tipo selecciona “IP/Mascara” - Escribe el segmento
de IP/Mascara que se utiliza en tu red LAN o en la red donde los usuarios tendrán acceso.
– En Interface selecciona “lan” (en otras versiones aparece Internal) – Clic en “OK”
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
3. Nuevamente creamos una nueva dirección.
Escribe el nombre de la dirección – En tipo selecciona “Rango IP” - Escribe el rango de IP
que se le asignara a los equipos de los clientes que se conecten por VPN, este rango es
determinado por la cantidad de usuarios que tienes estimado se van a conectar por VPN. –
En Interface selecciona “cualquiera” – Clic en “OK”
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
4. Ahora vamos a:
Al lado derecho del menú comenzamos a trabajar, clic en “Create New”
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
Antes de realizar la siguiente configuración debemos tener el dispositivo conectado al
FSSO instalado en el Active Directory.
Damos un nombre a este grupo de usuarios para la VPN, El “Tipo” debe ser Firewall, clic en
“Create New” para crear la conexión al servidor remoto que en realizada es la conexión al
AD por FSSO y debemos indicar cuál es el Grupo de Seguridad creado en el AD que contiene
los usuarios que tendrán acceso a la VPN IPSec con FortiCliente.
5. Ahora vamos a “VPN”, luego clic en IPSec y clic en “Tuneles”.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
6. Al lado derecho del menú comenzamos a trabajar, clic en “Create New”
7. Digitamos el nombre de la VPN – Seleccionamos la última opción “Tunel VPN
personalizado (No Template)” – Clic en el botón “Asistente_Siguiente”.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
8. En el apartado “Network” configura de la siguiente manera:
En “rango de dirección del cliente” el rango que definimos en el punto 3 de esta guía
En “Use DNS del sistema” la IP del servidor DNS local de la red.
En “Redes Accesibles” seleccionamos la dirección que definimos en el punto 2 de esta guía
9. En el apartado “Autenticación” de la siguiente manera:
La “Llave Precompartido” es la contraseña para acceder a la VPN IPSec desde FortiClient
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
10. En el apartado “Propuesta de fase 1” debe quedar de la siguiente manera:
AES128 es para el cliente de FortiClient en los celulares.
11. En el apartado “XAUTH” de siguiente manera:
En “Grupo de Usuarios” seleccionamos el grupo de usuarios que creamos en el punto 4 de
esta guía.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
12. En el apartado “Selectores fase 2” de siguiente manera:
13.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
14. Para finalizar vamos a las políticas del firewall para crear la regla de acceso por la VPN
IPSec que hemos configurado.
Al lado derecho del menú comenzamos a trabajar, clic en “Create New”
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
La configuración de la regla en el firewall debe quedar de la siguiente manera:
La “Interfaz Entrante” es la VPN IPSec que creamos en el punto 5 de esta guía.
“Dirección Origen” es la dirección que creamos en el punto 3 de esta guía.
“Dirección Destino” es la dirección que creamos en el 2 punto de esta guía que indica la red a la
cual el usuario va acceder por VPN.
Los filtros UTM los pueden activar o no, esto depende del nivel de seguridad especifico de cada
compañía y cada administrador de seguridad o redes a cargo.
Finalizamos en para guardar la regla.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
15. Ahora, en los equipos de los usuarios que van a conectarse a la VPN debemos instalar el
cliente de FortiClient v5.2.3.
Instalación de FortiClient
1. Podemos descargar el cliente desde el portal de servicio y soporte de FortiNet donde
está registrado nuestro FortiGate con su respectivo contrato de soporte.
También desde las siguientes URLs:
http://www.forticlient.com/
http://www.fortinet.com/resource_center/product_downloads.html
También desde el mismo FortiGate
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
2. El procedimiento para la instalación del FortiClient es el siguiente:
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
3. Configuración FortiClient para conectarnos a la VPN IPSec que configuramos en el
FortiGate 100D
Abrimos el FortiClient
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
Colocamos cualquier nombre que queramos dar a la VPN, en “Remote Gateway” es la
IP pública que tenemos configurada en la interfaz “Wan1” del FortiGate 100D, y en
“Authentication Method” digitamos la contraseña que definimos cuando configuramos
la VPN IPSec en el punto 5 de esta guía.
Importante indicar el usuario del AD con el que iniciara sesión el usuario por VPN desde
FortiClient.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
Seguimos en Avanzadas.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
Phase 1
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
Phase 2
Finalizamos dando clic en el botón “Apply” y luego en “Close”.
www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje
El usuario debe ingresar su contraseña y dar clic en conectar.
top related