Prozedura honetan azalduko da nola konfiguratu VPN bat IPSec erabiliz, edozein PC-tik internet bidez erakundearen LAN-era konektatzeko. Tráfico guztia IPSec bidez enkriptatuta joango da. VPN-era konektatzeko softwarea erabiliko dugu “FortiClient”. Bi atal azaltzen dira:

– Firewallaren konfigurazioa – AKI
– Instalazioa, VPN bezeroaren konfigurazioa eta konekzioa postu batean – AKI

Fortigate-ean VPN konfigurazioa,

Onena, Lehenik eta behin, Firewallak VPNak onartu ditzan eta seguru konfiguratzeko, Horian saioa hasten dugu, Ezkerreko menura joaten gara “VPN” > “IPSEC” eta lehen fasea sortu behar dugu honetatik “Create Phase 1”.

Ondorengo aukera guztiak konfiguratu behar ditugu:
“Izena”: le ponemos uno cualquiera, en mi ejemplo “vpnp1”.
“Remote Gateway”: El tipo de conexión que tendremos de entrada, en mi caso para conectarnos desde cualquier PC con el FortiClient es “Dialup User”.
“Local interface”: A que interfaz le entrarán las conexiones, lo normal WAN1 o WAN2, en mi caso “WAN1”.
“Mode”: “Main”
“Authentication Method”: La opción que yo he elegido es ponerle una contraseña común para que se conecten por VPN, con “Preshared Key”
“Preshared Key”: Meto la password que me interesa.
“Peer options”: Indicamos que acepte todos > “Accept any peer ID”.
– Pinchamos en el botón “Advanced…” para ver más opciones de la conexión.
Tenemos dos opciones de conexión segura, elegimos las más seguras, ahora sólo queda que los clientes sean compatibles, en mi caso la primera será “Encryption”: “3DES” eta “Autentikazioa”: “SHA1” y si esta conexión no fuera posible, la siguiente será: “Encryption”: “3DES” eta “Autentikazioa”: “MD5”.
“DH Taldea”: Markatzen dugu soilik “5”.
“Keylife”: Lehenetsitakoaren arabera 28800.
“XAuth”: Gaitu egingo dugu baina zerbitzari moduan, “Zerbitzari moduan gaitu”.
“Zerbitzari mota”: PAP.
“Erabiltzaile Taldea”: Aukeratzen dugu VPN honetara konekta daitezkeen erabiltzaileen taldea, beraz, interesa dugun erabiltzaile guztiak talde honetan sartu behar ditugu (eta ez badago, bada sortu eta probako erabiltzaile batzuk sartu).
“Nat Tranbersala”: Gaitu egiten dugu “Gaitu”.
“Keepalive Frekuentzia”: 10 hau da lehenetsitako balioa.
“Hilketa Lankide Detekzioa”: Ere gaitu da, “Gaitu”.

Behin balio horiek ditugunean onartzen dugu, damos a “OK”.

Ondo, orain falta da beste fase bat sortzea, klikatu “Sortu 2. Fasea”.

Lehenengo fasera sartutako informazio bera betetzen dugu:
“Izena”: Gure nahi dugun izena, nire kasuan aurreko antzeko izan dadin, jarriko dut “vpnp2”.
“1. Fasea”: Lehenago sortutakoa aukeratzen dut, “vpnp1”.
– Klik egin “Advanced…”
Ponemos la misma enkriptación que en la primera fase.
Y habilitamos PFS “Enable perfect forward secrecy” y el de “Enable replay detection”.
“DH Taldea” lo dejamos sólo con “5”
In “Keylife” le dejamos el tiempo que viene predeterminado.
“Autokey Keep Alive” aktibatzen dugu.
“DHCP-IPsec” también para usar un servidor DHCP de la red.
Damos a “OK”.

Ondo, ahora debemos crear una regla para permitir estas conexiones VPN de Internet a nuestra LAN. Para ello, vamos a “Firewall” > “Policy” > Y pulsamos sobre “Create New”.

In “Source” tenemos que poner a donde queremos que vaya la encriptación de la VPN, o sea el destino (¿?), en mi ejemplo sería “internal”.
“Address Name: all”
In “Destination” desde donde vendrá la conexión, en mi ejemplo todo viene por la “wan1”.
“Address Name: all”
Siempre queremos que esté operativo: “Schedule: always”.
Que funcionen todos los protocolos, que pase todo el tráfico por la VPN, así que en “Service” indicamos “ANY”.
Y la diferencia es que en “Action” tenemos que poner “IPSEC” para que creé un tunel seguro.
In “VPN Tunnel” indicamos cual es nuestra primera fase, en mi caso era “vpnp1” y marcamos los dos checks de “Allow inbound” eta “Allow outbound” para que haya trafico tanto entrante como saliente por la VPN, osea, que el que se conecte pueda acceder a recursos de la red y se pueda acceder a él.
Damos a “OK”.

Comprobamos que está en las reglas de “internal -> wan1” y en “Action” pone “ENCRYPT”.

Ondo, ahora lo que hay que hacer es configurar el servicio DHCP (esto es opcional, si queremos que cuando alguien se nos conecte le asigne una dirección IP o no, baina ez badugu, lo podemos configurar desde el clienteVPN). Si queremos configurarlo, sería, etik “System” > “DHCP” > In “wan1” > “Servers” y le damos al .

Vale, vamos a crear un servidor DHCP para la interfaz “wan1” pero sólo para conexiones VPN (IPSEC):
“Izena” le indicamos un nombre, adibidez: ServerDHCPvpn
Por supuesto que tiene que estar habilitado, así que marcar el check de “Gaitu”.
In “Type” ponemos que sea “IPSEC”.
In “IP Range” decimos cual será el rango IP que se les asignará a los usuarios cuando se conecten. Les ponemos la mascara de red en “Network Mask” y una puerta de enlace (opcional), en “Domain” simplemente es el dominio que se supone que está en la red.
In “Lease Time” es el tiempo que le durará esta asignación IP y cuando le caduque si él no está disponible y llega otra petición IP se la asignará a este nuevo.
“DNS Server 1”, son los servidores que le resolverán los nombres, ponemos servidores DNS de nuestra LAN.
Damos a “OK”.

Comprobamos que ya sale ahí nuestro servidor DHCP y está habilitado. Bien toda la configuración en el Firewall ya está realizada, ahora nos queda la parte del cliente.

Instalazioa, configuración y conexión del cliente VPN en un puesto mediante FortiClient,

En esta parte se explica cómo instalar el cliente VPN llamado FORTICLIENT y configurarlo para conectarnos a la VPN. Lo primero de todo será descargarlo de la web http://www.fortinet.com o de AKI.

Vale, lo primero, es una instalación facil, laguntzaile bat. Sakatu on “Next”,

Bai, aceptamos la licencia, damos a “Next”,

Ojo!! no haremos una instalación completa, ya que eso nos instalará hasta un antivirus y si tenemos dos antivirus en el mismo PC ya se sabe lo que pasa, se bloquea el PC. Así que instalación personalizada, “Pertsonalizatua” eta “Next”,

Sólo seleccionamos “IPSec VPN” para conectarnos por la VPN bastaría, damos a “Next”,

E “Install” para que comience a instalar…

…

Vale, un par de segundos y ya tenemos el cliente VPN instalado, “Finish”,

Para que el cliente VPN funcione bien, hay que reiniciar, es obligatorio, así que cuando se pueda se reinicia.

Una vez reiniciado el PC, podemos abrir el FortiClient ya, bertatik, pinchamos en el botón de “Advanced >>>” > “Gehitu…” para crear una conexión VPN.

Le ponemos un nombre a la conexión, y podemos decirle si la configuración IP es automatica o manual, si ya hemos configurado un servidor DHCP en el firewall podemos poner “Automatic”, baina ez badugu, “Manual” y poner una configuración de red para que trabaje con la interfaz “internal”. In “Authentication Method” elegimos “Preshared Key”, esta será la que pusimos antes en la configuración de la fase1 en el firewall. Damos “Advanced…”

Marcamos XAuth “eXtended Authentication” y en Remote Network le ponemos cual es la red remota a la que se va a conectar (el rango). Damos a “OK”.

Con esto ya está, ahora sólo queda conectarse, para ello pulsamos al botón de “Connect” y esperar a que se conecte…

Nos pedirá usuario y contraseña para conectarse, ya que antes hemos puesto a la hora de configurar la fase1 que a esta VPN sólo se puedan conectar los usuarios del grupo “GrupoVPNssl”, metemos el usuario y el password de un usuario perteneciente a tal grupo y damos a “OK”, podemos decirle que recuerde la contraseña marcando el check de “Remember my password”.

Vemos que en la barra de herramientas el icono de la red VPN de Forticlient se está conectando…

Y para comprobar que estamos conectados en el FortiClient nos pondrá el “Status” que está “Up”, y ya podremos trabajar de forma segura por la VPN a los recursos necesarios.