Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anterior Revisión previa
Próxima revisión
Revisión previa
hardware:fortigate:gre [24/05/2019 13:28]
lc
hardware:fortigate:gre [23/08/2019 11:06] (actual)
lc [Creación de un tunel GRE entre dos fortigate]
Línea 3: Línea 3:
 Basicamente con un tunel GRE encapsulamos cualquier trafico ​ y lo enviamos al gateway remoto. ​ Basicamente con un tunel GRE encapsulamos cualquier trafico ​ y lo enviamos al gateway remoto. ​
 Un tunel GRE puede usarse con o sin encriptación ipsec. Un tunel GRE puede usarse con o sin encriptación ipsec.
 +{{ :​undefined:​tunelgre.jpg?​nolink&​600 |}}
  
 +  * CE -> Router del cliente. en nuestro caso los fortigate (Customer Edge Router )
 +  * PE -> Router del proveedor de la conexión (Provider Edge Router)
  
-{{ :​hardware:​fortigate:​tunelgre.jpg?​nolink&​600 |}} 
  
  
 +====  Creación de un tunel GRE entre dos fortigate ====
 +En este ejemplo vamos a conectar dos sedes que tienen a su vez varias subredes internas con distintos rangos de ip y que el proveedor de la conexión MPLS no nos las tiene enrutadas y por tanto para que se vean las subredes internas de cada sede utilizaremos un tunel GRE a través de una conexión MPLS entre dichas sedes. ​
  
 +Hay que conectarse a los fortigate de cada  sede para realizar la configuración. Con el proveedor de la conexión decidiremos un rango de red para utilizar en cada sede .
 +Este rango es independiente del resto de redes que tengamos ya que es para conectar nuestro frewall con el router del proveedor. En este caso utilizamos las redes 172.21.0.0/​29 para la sede remota y la 172.19.0.0/​30 para la sede principal
 +
 +{{ :​hardware:​fortigate:​tunel_gre.jpg?​nolink&​900 |}}
 +=== Sede remota ===
 +<sxh>
 +config system gre-tunnel
 +edit "​gre-centralgc"​
 +set interface "​WAN2"​
 +set remote-gw 172.19.0.2
 +set local-gw 172.21.0.2
 +next
 +end</​sxh>​
 +
 +  * Habilitar una política de salida que permita el trafico de la zona interna al nuevo interfaz a-centralgc y otra que permita el trafico del nuevo interfaz a la zona interna ​
 +  * Definir una ruta estática que indique como alcanzar el gateway remoto ​
 +  * Definir rutas que indiquen que redes son alcanzables por el interfaz gre-tunnel o habilitar en enrutamiento dinámico.
 +
 +
 +=== Sede Principal ===
 +<sxh>
 +config system gre-tunnel
 +edit "​gre-remotogc"​
 +set interface "​port20"​
 +set remote-gw 172.21.0.2
 +set local-gw 172.19.0.2
 +next
 +end
 +</​sxh>​
 +El siguiente paso será crear una zona y añadir el nuevo interfaz a dicha zona
 +{{ :​hardware:​fortigate:​gre1.png?​nolink&​600 |}}
 +
 +Editamos el interfaz que hemos creado ​
 +{{ :​hardware:​fortigate:​gre2.png?​nolink&​600 |}}
 +
 +le asignamos una ip local y le indicamos la ip remota (estas ips son distintas de las que usamos para crear el tunel. Son ips que nosotros mismo le damos a ese tunel para uso interno.
 +{{ :​hardware:​fortigate:​gre3.png?​nolink&​600 |}}
 +
 +  * Habilitar una política de salida que permita el trafico de la zona interna al nuevo interfaz a-centralgc y otra que permita el trafico del nuevo interfaz a la zona interna ​
 +  * Definir una ruta estática que indique como alcanzar el gateway remoto ​
 +  * Definir rutas que indiquen que redes son alcanzables por el interfaz gre-tunnel o habilitar en enrutamiento dinámico.
 +
 +=== Verificar tunel ===
 +<​sxh>​diag system gre list</​sxh>​
 +
 +==== Referencias ====
 +  * https://​ccnadesdecero.es/​tuneles-gre-caracteristicas-y-configuracion/​
 +  * http://​www.mirazon.com/​how-to-create-a-gre-tunnel-within-fortigate/​