Configurando VPN IPSec FortiClient - FortiGate 100D

www.ragazome.info / @ragazome Libertad de Conocimiento / Libertad de Aprendizaje

LABORATORIO FORTINET

Configurando VPN IPSec FortiClient

FortiGate 100D v5.2.3

Esta guía tiene el objetivo de registrar la configuración completa de una VPN, en un dispositivo

FortiNet FortiGate-100D utilizando el cliente FortiClient para la conexión de los usuarios a la red,

todo el tráfico ira encriptado mediante IPSec.

Partimos de un FortiGate 100D configurado de manera básica, ya en producción en una LAN de 60

equipos aprox. Después de esto:

CONFIGURACIONES DEL DISPOSITIVO PARA LA GUA

Firmware v5.2.3

Grupos de usuarios sincronizados con el Active Directory utilizando el FSSO de FortiNet.

El FortiGate 100D tiene activos los filtros UTM

http://www.ragazome.info/


1. Login en el FortiGate 100D (v5.2.3), entramos a “Policy & Objects” – Clic en “Objetos” –

Clic en “Dirección”

2. Al lado derecho del menú comenzamos a trabajar, clic en “Create New”

Escribe el nombre de la dirección – En tipo selecciona “IP/Mascara” - Escribe el segmento

de IP/Mascara que se utiliza en tu red LAN o en la red donde los usuarios tendrán acceso.

– En Interface selecciona “lan” (en otras versiones aparece Internal) – Clic en “OK”



3. Nuevamente creamos una nueva dirección.

Escribe el nombre de la dirección – En tipo selecciona “Rango IP” - Escribe el rango de IP

que se le asignara a los equipos de los clientes que se conecten por VPN, este rango es

determinado por la cantidad de usuarios que tienes estimado se van a conectar por VPN. –

En Interface selecciona “cualquiera” – Clic en “OK”



4. Ahora vamos a:

Al lado derecho del menú comenzamos a trabajar, clic en “Create New”



Antes de realizar la siguiente configuración debemos tener el dispositivo conectado al

FSSO instalado en el Active Directory.

Damos un nombre a este grupo de usuarios para la VPN, El “Tipo” debe ser Firewall, clic en

“Create New” para crear la conexión al servidor remoto que en realizada es la conexión al

AD por FSSO y debemos indicar cuál es el Grupo de Seguridad creado en el AD que contiene

los usuarios que tendrán acceso a la VPN IPSec con FortiCliente.

5. Ahora vamos a “VPN”, luego clic en IPSec y clic en “Tuneles”.



6. Al lado derecho del menú comenzamos a trabajar, clic en “Create New”

7. Digitamos el nombre de la VPN – Seleccionamos la última opción “Tunel VPN

personalizado (No Template)” – Clic en el botón “Asistente_Siguiente”.



8. En el apartado “Network” configura de la siguiente manera:

En “rango de dirección del cliente” el rango que definimos en el punto 3 de esta guía

En “Use DNS del sistema” la IP del servidor DNS local de la red.

En “Redes Accesibles” seleccionamos la dirección que definimos en el punto 2 de esta guía

9. En el apartado “Autenticación” de la siguiente manera:

La “Llave Precompartido” es la contraseña para acceder a la VPN IPSec desde FortiClient



10. En el apartado “Propuesta de fase 1” debe quedar de la siguiente manera:

AES128 es para el cliente de FortiClient en los celulares.

11. En el apartado “XAUTH” de siguiente manera:

En “Grupo de Usuarios” seleccionamos el grupo de usuarios que creamos en el punto 4 de

esta guía.



12. En el apartado “Selectores fase 2” de siguiente manera:

13.



14. Para finalizar vamos a las políticas del firewall para crear la regla de acceso por la VPN

IPSec que hemos configurado.

Al lado derecho del menú comenzamos a trabajar, clic en “Create New”



La configuración de la regla en el firewall debe quedar de la siguiente manera:

La “Interfaz Entrante” es la VPN IPSec que creamos en el punto 5 de esta guía.

“Dirección Origen” es la dirección que creamos en el punto 3 de esta guía.

“Dirección Destino” es la dirección que creamos en el 2 punto de esta guía que indica la red a la

cual el usuario va acceder por VPN.

Los filtros UTM los pueden activar o no, esto depende del nivel de seguridad especifico de cada

compañía y cada administrador de seguridad o redes a cargo.

Finalizamos en para guardar la regla.



15. Ahora, en los equipos de los usuarios que van a conectarse a la VPN debemos instalar el

cliente de FortiClient v5.2.3.

Instalación de FortiClient

1. Podemos descargar el cliente desde el portal de servicio y soporte de FortiNet donde

está registrado nuestro FortiGate con su respectivo contrato de soporte.

También desde las siguientes URLs:

http://www.forticlient.com/

http://www.fortinet.com/resource_center/product_downloads.html

También desde el mismo FortiGate


http://www.forticlient.com/

http://www.fortinet.com/resource_center/product_downloads.html


2. El procedimiento para la instalación del FortiClient es el siguiente:







3. Configuración FortiClient para conectarnos a la VPN IPSec que configuramos en el

FortiGate 100D

Abrimos el FortiClient



Colocamos cualquier nombre que queramos dar a la VPN, en “Remote Gateway” es la

IP pública que tenemos configurada en la interfaz “Wan1” del FortiGate 100D, y en

“Authentication Method” digitamos la contraseña que definimos cuando configuramos

la VPN IPSec en el punto 5 de esta guía.

Importante indicar el usuario del AD con el que iniciara sesión el usuario por VPN desde

FortiClient.



Seguimos en Avanzadas.



Phase 1



Phase 2

Finalizamos dando clic en el botón “Apply” y luego en “Close”.



El usuario debe ingresar su contraseña y dar clic en conectar.


Technology

Configurando VPN IPSec FortiClient - FortiGate 100D