En aquest procediment s'explica com configurar una VPN usant IPSec per connectar-se amb un PC qualsevol des d'internet a la LAN de l'organització. Tot el trànsit aniria encriptat mitjançant IPSec. Per connectar-nos a la VPN ho farem mitjançant el programari “FortiClient”. S'expliquen dues parts:

– Configuració del firewall – AKI
– Instal·lació, configuració i connexió del client VPN en un lloc – AKI

Configuració de la VPN al Fortigate,

Bo, el primer de tot, per configurar el firewall que accepti VPN' s i configurar-les de forma segura, ens hi adonem, anem al menú de l'esquerra a “VPN” > “IPSEC” i hem de crear la primera fase des de “Create Phase 1”.

Hem de configurar totes les següents opcions:
“Name”: li posem un qualsevol, en el meu exemple “vpnp1”.
“Remote Gateway”: El tipus de connexió que tindrem d'entrada, en el meu cas per connectar-nos des de qualsevol PC amb el FortiClient és “Dialup User”.
“Local interfície”: Que interfície li entraran les connexions, lo normal WAN1 o WAN2, en el meu cas “WAN1”.
“Mode”: “Main”
“Authentication Method”: L'opció que jo he triat és posar-li una contrasenya comuna perquè es connectin per VPN, amb “Preshared Key”
“Preshared Key”: Meto la password que m'interessa.
“Peer options”: Indiquem que accepti tots > “Accept any peer ID”.
– Punxem al botó “Advanced…” per veure més opcions de la connexió.
Tenim dues opcions de connexió segura, elegim les més segures, ara només queda que els clients siguin compatibles, en el meu cas la primera serà “Encryption”: “3DES” y “Authentication”: “SHA1” i si aquesta connexió no fos possible, la següent serà: “Encryption”: “3DES” y “Authentication”: “MD5”.
“DH Group”: Marquem únicament “5”.
“Keylife”: Per defecte 28800.
“XAuth”: L'habilitarem però com a servidor, “Enable as server”.
“Server type”: PAP.
“User Group”: Seleccionem el grup d'usuaris que poden connectar-se a aquesta VPN, així que tots els usuaris que ens interessin que es connectin els hem de posar en aquest grup (i si no existeix, doncs ho creiem i fiquem a uns usuaris de prova).
“Nat Trasversal”: L'habiliten “Enable”.
“Keepalive Frecuency”: 10 que és el valor que ve predeterminat.
“Dead Peer Detection”: També habilitat, “Enable”.

Un cop tenim així els valors acceptem, donem a “OK”.

Bé, ara falta crear l'altra fase, polsem sobre “Create Phase 2”.

Omplim la mateixa informació que hem ficat per a la primera fase:
“Name”: El nom que volem, en el meu cas per ser com l'anterior, li poso “vpnp2”.
“Phase 1”: Selecciono la que he creat abans, “vpnp1”.
– Posem sobre “Advanced…”
Posem la mateixa encriptació que en la primera fase.
I habilitam PFS “Enable perfect forward secrecy” i el de “Enable replay detection”.
“DH Group” ho deixem només amb “5”
En “Keylife” li deixem el temps que ve predeterminat.
“Autokey Keep Alive” l'habiliten.
“DHCP-IPsec” també per usar un servidor DHCP de la xarxa.
Donem a “OK”.

Bé, ara hem de crear una regla per permetre aquestes connexions VPN d'Internet a la nostra LAN. Per a això, anem a “Firewall” > “Policy” > I posem sobre “Create New”.

En “Source” hem de posar on volem que vagi l'encriptació de la VPN, o sigui el destí (¿?), en el meu exemple seria “internal”.
“Address Name: all”
En “Destination” des d' on vindrà la connexió, en el meu exemple tot ve per la “wan1”.
“Address Name: all”
Sempre volem que estigui operatiu: “Schedule: always”.
Que funcionin tots els protocols, que passi tot el trànsit per la VPN, així que en “Service” indiquem “ANY”.
I la diferència és que en “Action” hem de posar “IPSEC” perquè creï un tunel segur.
En “VPN Tunnel” indiquem quina és la nostra primera fase, en el meu cas era “vpnp1” i marquem els dos checks de “Allow inbound” y “Allow outbound” perquè hi hagi tràfic tant entrant com sortint per la VPN, osea, que el que es connecti pugui accedir a recursos de la xarxa i s' hi pugui accedir.
Donem a “OK”.

Comprovem que està en les regles de “internal -> wan1” i en “Action” posa “ENCRYPT”.

Bé, ara el que cal fer és configurar el servei DHCP (això és opcional, si volem que quan algú se'ns connecti li assigni una adreça IP o no, si no, ho podem configurar des del clientVPN). Si volem configurar-lo, seria, des de “System” > “DHCP” > En “wan1” > “Servers” i li donem al .

Val, vam crear un servidor DHCP per a la interfície “wan1” però només per a connexions VPN (IPSEC):
“Name” li indiquem un nom, per exemple: ServerDHCPvpn
Per suposat que ha d' estar habilitat, així que marcar el check de “Enable”.
En “Type” posem que sigui “IPSEC”.
En “IP Range” diem quin serà el rang IP que se' ls assignarà als usuaris quan es connectin. Els posem la mascara de xarxa a “Network Mask” i una porta d'enllaç (opcional), en “Domain” simplement és el domini que se suposa que és a la xarxa.
En “Lease Time” és el temps que li durarà aquesta assignació IP i quan li caduqui si ell no està disponible i arriba una altra petició IP se l'assignarà a aquest nou.
“DNS Server 1”, són els servidors que li resoldran els noms, posem servidors DNS de la nostra LAN.
Donem a “OK”.

Comprovem que ja surt aquí el nostre servidor DHCP i està habilitat. Bé tota la configuració al Firewall ja està realitzada, ara ens queda la part del client.

Instal·lació, configuració i connexió del client VPN en un lloc mitjançant FortiClient,

En aquesta part s'explica com instal·lar el client VPN anomenat FORTICLIENT i configurar-lo per connectar-nos a la VPN. El primer de tot serà descarregar-lo del web http://www.fortinet.com o de AKI.

Val, el primer, és una instal·lació facil, un assistent. Posem en “Next”,

Sí, acceptem la llicència, donem a “Next”,

Ull!! no farem una instal·lació completa, ja que això ens instal·larà fins a un antivirus i si tenim dos antivirus en el mateix PC ja se sap el que passa, es bloqueja el PC. Així que instal·lació personalitzada, “Custom” y “Next”,

Només seleccionem “IPSec VPN” per connectar-nos per la VPN n'hi hauria prou, donem a “Next”,

E “Install” perquè comenci a instal·lar…

…

Val, un parell de segons i ja tenim el client VPN instal·lat, “Finish”,

Perquè el client VPN funcioni bé, cal reiniciar, és obligatori, així que quan es pugui es reinicia.

Un cop reiniciat el PC, podem obrir el FortiClient ja, des d'ell, punxem al botó de “Advanced >>>” > “Add…” per crear una connexió VPN.

Li posem un nom a la connexió, i podem dir-li si la configuració IP és automatica o manual, si ja hem configurat un servidor DHCP al firewall podem posar “Automatic”, si no, “Manual” i posar una configuració de xarxa perquè treballi amb la interfície “internal”. En “Authentication Method” elegim “Preshared Key”, aquesta serà la que posem abans en la configuració de la fase1 en el firewall. Donem “Advanced…”

Marquem XAuth “eXtended Authentication” i a Remote Network li posem quina és la xarxa remota a la qual es connectarà (el rang). Donem a “OK”.

Amb això ja està, ara només queda connectar-se, per a això posem al botó de “Connect” i esperar que es connecti…

Ens demanarà usuari i contrasenya per connectar-se, ja que abans hem posat a l'hora de configurar la fase1 que a aquesta VPN només es puguin connectar els usuaris del grup “GrupVPNssl”, fiquem l'usuari i el password d'un usuari pertanyent a tal grup i donem a “OK”, podem dir-li que recordi la contrasenya marcant el check de “Remember my password”.

Veiem que a la barra d'eines la icona de la xarxa VPN de Forticlient s'està connectant…

I per comprovar que estem connectats al FortiClient ens posarà el “Status” que està “Up”, i ja podrem treballar de forma segura per la VPN als recursos necessaris.