meta data de esta página
  •  

Diferencias

Muestra las diferencias entre dos versiones de la página.

Enlace a la vista de comparación

Ambos lados, revisión anteriorRevisión previa
Próxima revisión		Revisión previa
hardware:fortigate:vpn [2018/04/06 10:28] lchardware:fortigate:vpn [2023/01/18 14:36] (actual) – editor externo 127.0.0.1
Línea 1: Línea 1:
 {{tag>fortigate vpn ipsec }} {{tag>fortigate vpn ipsec }}
-===== Crear una VPN usando IPSec =====+===== VPN ===== 
 +==== Crear una VPN usando IPSec ====
 En un fortigate las VPNs pueden ser **policy-base** o **route-base**. Hay pequeñas diferencias entre una y otra y por lo general se emplea la **route-base** debido a que es más flexible y sencilla de configurar. En un fortigate las VPNs pueden ser **policy-base** o **route-base**. Hay pequeñas diferencias entre una y otra y por lo general se emplea la **route-base** debido a que es más flexible y sencilla de configurar.
 +
 +Una conexión VPN mediante ipsec se establece mediante dos fases. Las parámetros de cada fase deben de coincidir en ambos extremos de la conexión VPN, exceptuando las ips de los gateway de cada extremo.
  
 Los pasos para crear una VPN mediante IPSEC son los siguientes: Los pasos para crear una VPN mediante IPSEC son los siguientes:
-  - Definir lps parámetros de la Fase1+  - previamente definir los usuarios y grupos que vamos a utilizar en la conexión 
 +  - Definir los parámetros de la Fase1
   - Definir los parámetros de la Fase2   - Definir los parámetros de la Fase2
-  - Especificar las direcciones de origen y de destino +  - Especificar las reglas de acceso 
  
  
- +=== Crear usuarios/grupos de usuarios para la autenticación ===
- +
- +
- +
- +
-==== Crear usuarios/grupos de usuarios para la autenticación ====+
  
 Para crear los usuarios vamos a Usuarios & Dispositivos->Usuario ->Crear Nuevo  Para crear los usuarios vamos a Usuarios & Dispositivos->Usuario ->Crear Nuevo 
Línea 23: Línea 22:
  
  
-==== Crear VPN ====+=== Crear VPN ===
 Ejemplo de una VPN ipsec  Ejemplo de una VPN ipsec 
 {{ :hardware:fortigate:vpn1.png?nolink&600 |}} {{ :hardware:fortigate:vpn1.png?nolink&600 |}}
  
-<note>El rango de direcciones ip no tienen que coincider con ningún otro que tengamos en la red </note>+<note>El rango de direcciones ip no tienen que coincidir con ningún otro que tengamos en la red </note>
 === Fase 1 === === Fase 1 ===
 La fase1 tiene dos modos agresivo y principal/main. La fase1 tiene dos modos agresivo y principal/main.
-== Agresivo == +**Agresivo** -> Modo más rápido. Va sin encriptar el primer paquete de autenticación , recomendado para clientes remotos. 
-Modo más rápido. Va sin encriptar el primer paquete de autenticación , recomendado para clientes remotos +**Principal/main**-> Modo más seguro. El primer paquete de autenticación va encriptado, recomendado para site-to-site.
- +
-== Principal/main == +
-Modo más seguro. El primer paquete de autenticación va encriptado, recomendado para site-to-site+
  
 {{ :hardware:fortigate:vpn2.png?nolink&600 |}} {{ :hardware:fortigate:vpn2.png?nolink&600 |}}
Línea 42: Línea 38:
 == Phase 1 Proposal == == Phase 1 Proposal ==
 Los parámetros que pongamos en este apartado deben de ser los mismos que luegos pongamos en la configuración del Forticlient Los parámetros que pongamos en este apartado deben de ser los mismos que luegos pongamos en la configuración del Forticlient
-<note>EL Valor que pongamos el el **Diffie-Hellman Group** determina la fortaleza de la clave de intercambio . Un número alto implica más seguridad, pero también más tiempo para procesarla. +<note>EL Valor que pongamos el el **Diffie-Hellman Group** determina la fortaleza de la clave de intercambio . Un número alto implica más seguridad, pero también más tiempo para procesarla 
-El DHG debe de ser el mismo en ambos extremos de la conexión</note>+  * Diffie-Hellman group 1  -  768 bit  - No recomendado 
 +  * Diffie-Hellman group 2  - 1024 bit  - No recomendado 
 +  * Diffie-Hellman group 5  - 1536 bit  -  No recomendado 
 +  * Diffie-Hellman group 14 - 2048 bit – Mínimo aceptable 
 +  * Diffie-Hellman group 19 - 256 bit elliptic curve – ACEPTABLE 
 +  * Diffie-Hellman group 20 - 384 bit elliptic curve – Next Generation Encryption 
 +  * Diffie-Hellman group 21 - 521 bit elliptic curve – Next Generation Encryption
 </note> </note>
 +<note>El DHG debe de ser el mismo en ambos extremos de la conexión</note>
  
 == XAUTH == == XAUTH ==
Línea 50: Línea 53:
 {{ :hardware:fortigate:vpn3.png?nolink&600 |}} {{ :hardware:fortigate:vpn3.png?nolink&600 |}}
  
 +== Split Tunneling ==
 +Si está activado los usuarios usan su propia conexión a Internet. Si está desactivado y habilitamos las políticas necesarias, el usuario navegara a internet a través del Fortigate
 === Fase 2 == === Fase 2 ==
 Los parámetros deben de coincidir con los que luegos pongamos en el cliente  Los parámetros deben de coincidir con los que luegos pongamos en el cliente 
Línea 60: Línea 65:
   - Habilitar el modo debug <code>diag debug enable</code>   - Habilitar el modo debug <code>diag debug enable</code>
   - Para ver los mensaje ipsec <code> diag debug app ike -1</code>   - Para ver los mensaje ipsec <code> diag debug app ike -1</code>
 +  - Para saber si tenemos problemas con una política del firewall <code>diag debug flow</code>
   - Para salir del modo debug    - Para salir del modo debug 
 <code>diag debug reset <code>diag debug reset
Línea 66: Línea 72:
  
 ==== Verificar parámetros vpn ==== ==== Verificar parámetros vpn ====
 +<code>diag vpn tunnel list</code> Con este comando obtenemos datos como el número de paquetes encriptados/desencriptados. Bytes enviados/recibidos
 +
 <code>diag vpn ike config list</code> <code>diag vpn ike config list</code>
 ==== Referencias ==== ==== Referencias ====
 +  * http://soclevelone.com/index.php/2018/05/20/setting-vpn-ipsec-tunnel-with-fortigate/
   * http://cookbook.fortinet.com/ipsec-vpn-troubleshooting/   * http://cookbook.fortinet.com/ipsec-vpn-troubleshooting/
   * VPN con certificados http://docs.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/Certificates.077.33.html   * VPN con certificados http://docs.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/Certificates.077.33.html