Buscar

Miguel Colmenero

Categoría

vpn

VPN IPSEC (Ipad, Iphone)

Con esta entrada vamos a aprender hacer una vpn mediante ipsec. Esta vpn la he usado tanto como con el cliente forticlient como en los ipad con la vpn del sistema.

Primero haremos en los objetos VPN IPSEC, en VPN -> IPSEC, Create Phase, os dejo la captura de pantalla:fwIPSECFase1

Dónde en Name ponemos el nombre que deseemos: VPN-W1

Remote Gateway: Dial User, ya que no sabemos desde dónde se conectarán.

Local Interface: WAN1, en mi caso tenemos dos proveedores de servicios de internet y usamos la Wan1 para este tipo de VPN

Mode: Main (ID protection)

Authentication Method: Preshared Key y escribimos en Pre-Shared Key, escribimos la clave que pondremos cuando vayamos a configurar en los clientes.

Peer Options: Accept any peer ID, si queréis una mayor seguridad podemos escribir un ID, y solamente esos ID se podrán conectar.

Después escribimos la encryptación y autenticación, activamos el HD Group 2 y ponemos el tiempo de vida Keylife: 28800 y por ultimo el NAT traversal Enable.

Ahora nos toca hacer la Fase 2: esta es más sencilla, Escribimos el nombre, hacemos referencia a la fase 1 y ponemos la seguridad de encriptación, os dejo captura de pantalla.fwIPSecFase2

Ahora vamos a las reglas del Firewall:

Hacemos de la red internal al cualquier destino de salida por el interfaz wan1 todos los servicios y lo importatne es en Action :IPSEC, y después elegimos nuestra VPN.

Adjunto imagen, ya que una imagen vale más que mil palabras 😉 fwIPSECRegla

Y ya por último prepararemos un servidor de dhcp para esta red, diferente a la red interna nuestra (por seguridad y por tenerlos más controlados).

Esto lo haremos en Network- DHCP Server, creamos uno:

Interface: wan1

Mode: Server y Activamos el Enable

Type: Ipsec y escribimos el rango de ips y la mascára, así como un servidor de dns.fwIpsecDHCP

 

Si tenéis problemas para conectarse a los diferentes qeuipos de la red, podemos agregar una nueva regla que deje desde la red de la vpn, deje llegar a la red interna.

fwIPSECRegla2

Anuncios

VPN SSL

Aquí os dejo como hacer una VPN-SSL con un Fortigate  60C, con la version 4 MR3.

Los paso a seguir serán:

Primero creamos un Firewall Object que será el rango de ips que le daremos a nuestra VPN-SSLfwobject

Ahora vamos a VPN ->SSL, aquí definimos dos cosas, una en Config, será la configuración, seguridad… Os adjunto imagen

fwsslconfig

y después vamos a Portal, aquí creamos el portal personalizado para cuando entren vean los accesos directos creado, ej Terminal server….. y volvemos al grupo creado

Después creamos un grupo en User-> User Group -> Create New, ponemos el nombre del grupo ej “Usuarios”, type “firewall” y activamos “Allow VPN-SSL Access” y seleccionamos el nombre de Portal que hemos definido

Primero creamos los usuarios: User -> Local -> Create New, y lo asociamos al grupo creado.

Ya solo nos falta crear dos reglas para el funcionamiento de la VPN, antes de nada comentar que si usamos el puerto predeterminado 10443, nos pasará que cuando estemos fuera y queramos conectarnos a través de alguna red “amiga”, puede que ésta tenga el puerto 10443 cerrado y ya no funcione la vpn. Así que para no tener problemas os aconsejo, cambiar el puerto de gestión del firewall 443 por otro y dejar el 443 que es un standard para la VPN-SSL. Después de dicho esto, vamos a ponernos manos a la obra.

La primera regla es: desde la interfaz: sslvpn tunnel interface y desde el objeto de firewall que hemos creado a la interfaz internal y en nuestro caso fwregla1hemos creado otro grupo de ip restringidas llamadas comerciales, en lugar de tener acceso a toda la red. Y después hemos añadido al grupo de usuarios permitido. Adjunto imagen.

La siguiente regla, sería desde el interfaz de entrada, en nuestro caso WAN1 y desde cualquier origen a nuestra red interna y a toda ella, con una acción SSL-VPN. Solamente para el grupo definido en vpn. Adjunto la siguiente imagen.

fwregla2

VPN para Ipad y Android

Estos días ando pegandome con las vpn para poder hacer una conexión entre nuestro firewall Fortigate 60B y un par de terminales, uno Ipad y el otro Android.
Ahora mismo ya están funcionando la vpn entre estos dispositivos con la empresa, pero me falta afinar un poco más ya que si se conectan vía vpn no pueden navegar por internet.
La conexión VPN que he usado es una vpn PPTP ya que ésta la soporta los dos terminales. En los próximos días haré unas capturas de pantallas para enseñaros dicha configuración por si os puede ayudar.
Basicamente ha sido entrar en el Fortigate en VPN en el apartado PPTP, habilitar un rango de ips válidas y un grupo de usuario previamente definido.
Después hemos dado de alta la red de la pptp y en las reglas de firewall le hemos dicho que todo lo que entra del exterior de la red pptp vaya a la red internar.
Tras la conexión hemos probado a conectarnos con un cliente remoto (rdp) y el resultado ha sido exitoso. Ahora las siguientes pruebas es ver si es operativo para un comercial desprenderse de su portátil y pasar a usar un dispositivos de éstos para el trabajo del día a día.
Saludos

Crea un blog o un sitio web gratuitos con WordPress.com.

Subir ↑