Conectar iPhone o iPad a una VPN IPsec con FortiGate

En este documento veremos las configuraciones necesarias para poder conectar un dispositivo iPad o iPhone a una VPN con IPsec de FortiGate, con esto podremos hacer que las aplicaciones corporativas de nuestros iPad/iPhone funcionen directamente, ideal para ponerle alguna aplicación tipo softphone y llamar (o recibir llamadas) directamente desde dichos dispositivos, ahorrando los costos de las llamadas o estando 100% disponibles,

Podremos apoyarnos si necesitamos en estos documentos anteriores, ya que en este documento describiremos unicamente la parte de VPN y no hablaremos si son usuarios locales del FortiGate o autenticamos contra un LDAP:

i) Hacer una VPN con IPSEC en Fortigate y conectarse con FortiClient – AKI.
ii) Uso de autenticación de un Fortigate contra Directorio Activo usando LDAP – AKI.

Requisitos: necesitaremos cualquier FortiGate con FortiOS superior o igual a 4.0 MR1 Patch 1 y cualquier dispositivo iPad o iPhone con conectividad Wifi o 3G.

 

Deberemos crear la fase 1 y la fase 2 desde “VPN” > “IPsec” > “Auto Key (IKE)”, primero desde “Create Phase 1” & a posteriori “Create Phase 2”,

 

En la Phase 1 deberemos indicarle un nombre, indicar que el ‘Remote Gateway’ será “Dialup User”, indicaremos en ‘Local Interface’ la WAN desde la que se accederá, el ‘Mode’ seleccionamos “Main (ID protection)” en ‘Authentication Method’ indicaremos con “Preshared Key” e indicamos la clave que nos interesará. En ‘Peer Options’ marcamos “Accept any peer ID”. En las opciones avanzadas indicaremos ‘IKE version’ a “1”, en ‘Local Gateway IP’ marcamos “Main Interface IP”, en las primera encriptación marcaremos “AES256” & en la autenticación “MD5”; en el segundo método de encriptación “AES256” y en la autenticación “SHA1”; en ‘DH Group’ será “2”, el ‘Keylife’ “28800” segundos. En XAUTH marcamos “Enable as Server”, ‘Server Type’ será “AUTO”, agregamos el grupo de usuarios que queremos que se conecte a dicha VPN, habilitamos el ‘NAT Traversal’ y el ‘Dead Peer Detection’.

 

Creamos la Phase 2, seleccionaremos la fase 1 que acabamos de configurar. En las opciones avanzadas marcaremos de igual forma la encriptación y la autenticación, primero será “AES256” con “MD5” y segundo “AES256 con “SHA1”, habilitamos ‘Replay detection’ y ‘Perfect forward secrecy (PFS), en el ‘DH Group’ marcamos “2”, indicamos “1800” segundos para el ‘Keylife’, habilitamos ‘Autokey Keep Alive’ y en ‘Quick mode selector’ en ‘Source address’ y en ‘Destionation Address’ indicaremos “0.0.0.0/0”.

 

Como de costumbre una vez configurada la VPN deberemos crear una regla de firewall en “Policy” > “Policy”, especificaremos en ‘Source Interface/Zone’ la VPN recién creada, así como en ‘Source Address’ la red que tengamos definida para la VPN; en ‘Destination Interface/Zone’ indicaremos a donde queremos que se conecten y en ‘Destination Address’ la red a la que se conectarán. Indicaremos cuándo queremos que se conecten en ‘Schedule’ y en ‘Service’ los servicios/puertos que querramos permitir, finalmente en ‘Action’ marcaremos “ACCEPT” & “OK” para guardar.

 

Si tenemos más reglas de FW, ésta la tendremos que colocar arriba del todo para darle más prioridad.

 

Y configuramos el DHCP para la red VPN por línea de comandos, con:

config vpn ipsec phase1-interface
edit NOMBRE_PHASE_1
set mode-cfg enable
set ipv4-start-ip IP_ORIGEN
set ipv4-end-ip IP_DESTINO
set ipv4-netmask MASCARA_DE_RED

 

Ahora, desde un iPhone o iPad, desde “Ajustes” > “General” > “Red” > “VPN” configuraremos la nueva conexión desde “Añadir configuración VPN…”

 

E introducimos los datos necesarios para conectarnos, una descripción, el servidor VPN (nombre público) al que nos conectaremos, un usuario con permisos para conectarse en la VPN junto a su contraseña y en el ‘Secreto’ indicaremos la Preshared key introducida en la config de la VPN.

Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!

Últimos Posts de: Héctor Herrero (ver todos)