
Configurando una VPN SSL de Fortigate
En este procedimiento se explica cómo configurar una VPN usando SSL para conectarse con un PC cualquiera desde internet a la LAN de la organización. Todo el tráfico iría encriptado mediante SSL. Y tan sólo es necesario tener un navegador compatible, sin instalar software. Se explican dos partes:
– Configuración del firewall – AKI
– Conexión del cliente VPN en un puesto – AKI
Configuración de la VPN en el Fortigate,
Hay que hacer unas configuraciones muy sencillas en el FW para permitir este tipo de conexiones, primero, crearemos un usuario y un grupo; para que luego la autenticación se haga con ellos. Luego configuraremos en el FW que se pueda conectar mediante SSL.
Nos logemos en el FW, vamos a crear el usuario para luego conectarnos por VPN. En “User” > “Local” > pulsamos en “Create New”.
En “User Name” ponemos el login para el usuario y en “Password” la contraseña, le damos a “OK”.
Ahora crearemos el grupo, ya que Fortigate no maneja usuarios. Vamos a “User” > “User Group” y pulsamos sobre “Create New”.
En “Name” indicamos el nombre del grupo, por ejemplo: GrupoVPNssl y en “Type” indicamos que es del tipo “SSL VPN”. En “Avaliable Users” seleccionaremos el usuario de la izquierda que nos interese meter en el grupo y lo pasaremos a la parte de la derecha pinchando en . Le tenemos que permitir que se conecte a la VPN, para ello seleccionamos el check de “Enable SSL-VPN Tunnel Service”. Y si queremos podemos reestringirle si tiene un antivirus instalado, o un firewall. O si nos interesa meterle en un rango IP para cuando el servidor DHCP le vaya a asignar una IP. Para que no de problemas por la cache, marcaríamos que limpie la caché, “Enable Cache Clean”.
Vale, vemos que en “SSL VPN” ya sale nuestro grupo. Ahora vamos a configurar la VPN en sí.
Para configurar la VPN vamos a “VPN” > “SSL”. Tenemos que habilitarla “Enable SSL-VPN”, el puerto por defecto es el 10443; este será el puerto al que se tienen que conectar los clientes para poder conectarse, a la IP pública de la pata WAN1 (o la que sea). En “Tunnel IP Range” indicamos cual será el rango IP que le asignará a todos los que se conecten a la VPN (así que ya no es necesario un servidor DHCP), ponemos un rango de la LAN. En “Server Certificate” seleccionamos el del Fortigate, ese y no otro. Para más seguridad, indicaremos que se requiera por parte del cliente seguridad de 128bit marcando “Require key kength > 128bit(high)”. El “Idle Timeout” está bien como está con ese tiempo. En “DNS Server #1” decimos cual será el servidor que le resuelva los nombres DNS de la LAN, indicamos la IP del servidor DNS de la LAN. Damos a “Apply”.
Ahora falta crear una política para permitir estas conexiones, desde “Firewall” > “Policy” > y creamos una nueva en “Create New”.
Vale, en la regla esta, configuramos el origen que será “Source” la “wan1” y todo irá a mi LAN que es la pata de “internal”. En “Service” ponemos “ANY” para que la VPN no cierre ningun puerto entre los que se conecten. En “Action” hay que indicarle que es “SSL-VPN”, en “Available Groups” indicamos el grupo que hemos creado antes y lo marcamos como “Allowed” con . Damos a “OK” para crear la regla.
Comprobamos que nuestra regla está de la WAN1 a la INTERNAL y en Action pone “SSL-VPN”. Bueno, todo en la parte del firewall ya está configurado, ahora sólo quedaría la parte del cliente.
En esta parte del documento se explica cómo se tiene que conectar un usuario cualquiera con un navegador únicamente a la red corporativa mediante la VPN SSL.
Lo primero de todo es desde el PC cliente, abrir un navegador y conectarnos a la dirección IP pública del firewall usando el protocolo SSL (HTTPS) y al puerto 10443, en mi ejemplo: https://XXX.XXX.XXX.XXX:10443. Mediante un aviso nos indicará que debemos aceptar el certificado y tenemos que continuar, en Internet Explorer 7 pulsamos en “Continue to this website”, si es otro navegador es simplemente darle “OK” para aceptarlo o “Si”.
Vale, ahora nos pedirá un usuario y una contraseña, estos serán los que hemos creado antes, al principio de este documento. Son usuarios del firewall, pertenecientes al grupo que hemos creado antes llamado “GrupoVPNssl”, un miembro de ese grupo era “usuariovpnssl”, metemos su contraseña y pulsamos sobre Login. (Si no se quieren usar usuarios del FW y sí del Directorio Activo, se puede usar la herramienta FSAE como se explica AKI).
Abajo en Tools, podemos conectarnos únicamente a servicios especificados, si lo que queremos es que no se conecten completamente a la LAN de nuestra red, si no sólo vía web (Connect to Web Server) o simplemente Pings, o Telnes, o VNC o una conexión de escritorio remoto mediante “Rdp to Host”. Pero en este documento se explica cómo hacer una conexión VPN en sí, así que pincharemos en el link de “Activate SSL-VPN Tunnel Mode”.
Nos pedirá para instalar un control ActiveX, así que nos lo instalamos desde la barra superior, pulsamos en “Install ActiveX Control…”
“Instalar”,
Vale, ahora desde esta pantalla veremos como está nuestra conexión desde “Link Status”, ahora está sin conectar (Down), para conectarnos debemos pulsar en “Connect”.
Bien, ya pone que la conexión VPN está levantada “Link Status” (Up) e indica los Bytes enviados y recibidos, ya podremos trabajar con normalidad, podemos minimizar esta web y trabajar contra la red corporativa de forma segura usando los recursos que necesitemos, tendremos una IP de la LAN de la empresa y podremos acceder a los servicios que necesitemos. Si queremos desconectarnos sería tan fácil como pulsar “Disconnect”.