Hacer una VPN con IPSEC en Fortigate y conectarse con FortiClient

En este procedimiento se explica cómo configurar una VPN usando IPSec para conectarse con un PC cualquiera desde internet a la LAN de la organización. Todo el tráfico iría encriptado mediante IPSec. Para conectarnos a la VPN lo haremos mediante el software “FortiClient”. Se explican dos partes:


– Configuración del firewall – AKI
– Instalación, configuración y conexión del cliente VPN en un puesto – AKI

Configuración de la VPN en el Fortigate,

Bueno, lo primero de todo, para configurar el firewall que acepte VPN’s y configurarlas de forma segura, nos logeamos en él, vamos en el menú de la izquierda a “VPN” > “IPSEC” y tenemos que crear la primera fase desde “Create Phase 1”.

Tenemos que configurar todas las siguientes opciones:
“Name”: le ponemos uno cualquiera, en mi ejemplo “vpnp1”.
“Remote Gateway”: El tipo de conexión que tendremos de entrada, en mi caso para conectarnos desde cualquier PC con el FortiClient es “Dialup User”.
“Local interface”: A que interfaz le entrarán las conexiones, lo normal WAN1 o WAN2, en mi caso “WAN1”.
“Mode”: “Main”
“Authentication Method”: La opción que yo he elegido es ponerle una contraseña común para que se conecten por VPN, con “Preshared Key”
“Preshared Key”: Meto la password que me interesa.
“Peer options”: Indicamos que acepte todos > “Accept any peer ID”.
– Pinchamos en el botón “Advanced…” para ver más opciones de la conexión.
Tenemos dos opciones de conexión segura, elegimos las más seguras, ahora sólo queda que los clientes sean compatibles, en mi caso la primera será “Encryption”: “3DES” y “Authentication”: “SHA1” y si esta conexión no fuera posible, la siguiente será: “Encryption”: “3DES” y “Authentication”: “MD5”.
“DH Group”: Marcamos únicamente “5”.
“Keylife”: Por defecto 28800.
“XAuth”: La habilitaremos pero como servidor, “Enable as server”.
“Server type”: PAP.
“User Group”: Seleccionamos el grupo de usuarios que pueden conectarse a esta VPN, así que todos los usuarios que nos interesen que se conecten los debemos de meter en este grupo (y si no existe, pues lo creamos y metemos a unos usuarios de prueba).
“Nat Trasversal”: La habilitamos “Enable”.
“Keepalive Frecuency”: 10 que es el valor que viene predeterminado.
“Dead Peer Detection”: También habilitado, “Enable”.

Una vez que tenemos así los valores aceptamos, damos a “OK”.

Bien, ahora falta crear la otra fase, pulsamos sobre “Create Phase 2”.

Rellenamos la misma información que hemos metido para la primera fase:
“Name”: El nombre que querramos, en mi caso para ser como el anterior, le pongo “vpnp2”.
“Phase 1”: Selecciono la que he creado antes, “vpnp1”.
– Pulsamos sobre “Advanced…”
Ponemos la misma encriptación que en la primera fase.
Y habilitamos PFS “Enable perfect forward secrecy” y el de “Enable replay detection”.
“DH Group” lo dejamos sólo con “5”
En “Keylife” le dejamos el tiempo que viene predeterminado.
“Autokey Keep Alive” lo habilitamos.
“DHCP-IPsec” también para usar un servidor DHCP de la red.
Damos a “OK”.

Bien, ahora debemos crear una regla para permitir estas conexiones VPN de Internet a nuestra LAN. Para ello, vamos a “Firewall” > “Policy” > Y pulsamos sobre “Create New”.

En “Source” tenemos que poner a donde queremos que vaya la encriptación de la VPN, o sea el destino (¿?), en mi ejemplo sería “internal”.
“Address Name: all”
En “Destination” desde donde vendrá la conexión, en mi ejemplo todo viene por la “wan1”.
“Address Name: all”
Siempre queremos que esté operativo: “Schedule: always”.
Que funcionen todos los protocolos, que pase todo el tráfico por la VPN, así que en “Service” indicamos “ANY”.
Y la diferencia es que en “Action” tenemos que poner “IPSEC” para que creé un tunel seguro.
En “VPN Tunnel” indicamos cual es nuestra primera fase, en mi caso era “vpnp1” y marcamos los dos checks de “Allow inbound” y “Allow outbound” para que haya trafico tanto entrante como saliente por la VPN, osea, que el que se conecte pueda acceder a recursos de la red y se pueda acceder a él.
Damos a “OK”.

Comprobamos que está en las reglas de “internal -> wan1” y en “Action” pone “ENCRYPT”.

Bien, ahora lo que hay que hacer es configurar el servicio DHCP (esto es opcional, si queremos que cuando alguien se nos conecte le asigne una dirección IP o no, si no, lo podemos configurar desde el clienteVPN). Si queremos configurarlo, sería, desde “System” > “DHCP” > En “wan1” > “Servers” y le damos al .

Vale, vamos a crear un servidor DHCP para la interfaz “wan1” pero sólo para conexiones VPN (IPSEC):
“Name” le indicamos un nombre, por ejemplo: ServerDHCPvpn
Por supuesto que tiene que estar habilitado, así que marcar el check de “Enable”.
En “Type” ponemos que sea “IPSEC”.
En “IP Range” decimos cual será el rango IP que se les asignará a los usuarios cuando se conecten. Les ponemos la mascara de red en “Network Mask” y una puerta de enlace (opcional), en “Domain” simplemente es el dominio que se supone que está en la red.
En “Lease Time” es el tiempo que le durará esta asignación IP y cuando le caduque si él no está disponible y llega otra petición IP se la asignará a este nuevo.
“DNS Server 1”, son los servidores que le resolverán los nombres, ponemos servidores DNS de nuestra LAN.
Damos a “OK”.

Comprobamos que ya sale ahí nuestro servidor DHCP y está habilitado. Bien toda la configuración en el Firewall ya está realizada, ahora nos queda la parte del cliente.

Instalación, configuración y conexión del cliente VPN en un puesto mediante FortiClient,

En esta parte se explica cómo instalar el cliente VPN llamado FORTICLIENT y configurarlo para conectarnos a la VPN. Lo primero de todo será descargarlo de la web http://www.fortinet.com o de AKI.

Vale, lo primero, es una instalación facil, un asistente. Pulsamos en “Next”,

Sí, aceptamos la licencia, damos a “Next”,

Ojo!! no haremos una instalación completa, ya que eso nos instalará hasta un antivirus y si tenemos dos antivirus en el mismo PC ya se sabe lo que pasa, se bloquea el PC. Así que instalación personalizada, “Custom” y “Next”,

Sólo seleccionamos “IPSec VPN” para conectarnos por la VPN bastaría, damos a “Next”,

E “Install” para que comience a instalar…

Vale, un par de segundos y ya tenemos el cliente VPN instalado, “Finish”,

Para que el cliente VPN funcione bien, hay que reiniciar, es obligatorio, así que cuando se pueda se reinicia.

Una vez reiniciado el PC, podemos abrir el FortiClient ya, desde él, pinchamos en el botón de “Advanced >>>” > “Add…” para crear una conexión VPN.

Le ponemos un nombre a la conexión, y podemos decirle si la configuración IP es automatica o manual, si ya hemos configurado un servidor DHCP en el firewall podemos poner “Automatic”, si no, “Manual” y poner una configuración de red para que trabaje con la interfaz “internal”. En “Authentication Method” elegimos “Preshared Key”, esta será la que pusimos antes en la configuración de la fase1 en el firewall. Damos “Advanced…”

Marcamos XAuth “eXtended Authentication” y en Remote Network le ponemos cual es la red remota a la que se va a conectar (el rango). Damos a “OK”.

Con esto ya está, ahora sólo queda conectarse, para ello pulsamos al botón de “Connect” y esperar a que se conecte…

Nos pedirá usuario y contraseña para conectarse, ya que antes hemos puesto a la hora de configurar la fase1 que a esta VPN sólo se puedan conectar los usuarios del grupo “GrupoVPNssl”, metemos el usuario y el password de un usuario perteneciente a tal grupo y damos a “OK”, podemos decirle que recuerde la contraseña marcando el check de “Remember my password”.

Vemos que en la barra de herramientas el icono de la red VPN de Forticlient se está conectando…

Y para comprobar que estamos conectados en el FortiClient nos pondrá el “Status” que está “Up”, y ya podremos trabajar de forma segura por la VPN a los recursos necesarios.


Héctor Herrero

Autor del blog Bujarra.com
Cualquier necesidad que tengas, no dudes en contactar conmigo, os intentare ayudar siempre que pueda, compartir es vivir 😉 . Disfrutar de los documentos!!!