Este procedimento explica como configurar uma VPN usando IPSec para se conectar a qualquer PC da Internet para a LAN da sua organização. Todo o tráfego seria criptografado usando IPSec. Para se conectar à VPN, faremos isso através do software “FortiClient”. Duas partes são explicadas:

– Configuração do firewall – AQUI
– Instalação, configuração e ligação do cliente VPN num posto – AQUI

Configuração de VPN no Fortigate,

Poço, Em primeiro lugar, para configurar o firewall para aceitar VPNs e configurá-las de forma segura, iniciamos sessão nele, vamos no menu à esquerda para “VPN” > “IPSEC” e temos de criar a primeira fase a partir de “Create Phase 1”.

Temos de configurar todas as seguintes opções:
“Nome”: colocamos qualquer uma, No meu exemplo “vpnp1”.
“Remote Gateway”: O tipo de ligação que teremos de entrada, no meu caso, para nos ligarmos a partir de qualquer PC com o FortiClient é “Dialup User”.
“Local interface”: A que interface vão chegar as ligações, o normal WAN1 ou WAN2, No meu caso “WAN1”.
“Mode”: “Main”
“Authentication Method”: A opção que escolhi foi colocar uma palavra-passe comum para que se liguem por VPN, com “Preshared Key”
“Preshared Key”: Coloco a password que me interessa.
“Peer options”: Indicamos que aceite todos > “Accept any peer ID”.
– Pinchamos en el botón “Avançado…” para ver más opciones de la conexión.
Tenemos dos opciones de conexión segura, elegimos las más seguras, ahora sólo queda que los clientes sean compatibles, en mi caso la primera será “Encriptação”: “3DES” e “Autenticação”: “SHA1” y si esta conexión no fuera posible, la siguiente será: “Encriptação”: “3DES” e “Autenticação”: “MD5”.
“DH Group”: Marcamos únicamente “5”.
“Keylife”: Inadimplência 28800.
“XAuth”: La habilitaremos pero como servidor, “Habilitar as server”.
“Tipo de servidor”: PAP.
“Grupo de usuários”: Selecionamos o grupo de utilizadores que podem conectarse a esta VPN, assim que todos os utilizadores que nos interessam que se conectem devemos meter neste grupo (y si no existe, pues lo creamos y metemos a unos usuarios de prueba).
“Nat Trasversal”: La habilitamos “Habilitar”.
“Keepalive Frecuency”: 10 que é el valor que viene predeterminado.
“Detecção de Pares Mortos”: Também habilitado, “Habilitar”.

Una vez que tenemos así los valores aceptamos, Nós damos “OKEY”.

Nada mau, ahora falta crear la otra fase, Clique em “Create Phase 2”.

Rellenamos la misma información que hemos metido para la primera fase:
“Nome”: El nombre que querramos, en mi caso para ser como el anterior, le pongo “vpnp2”.
“Phase 1”: Selecciono la que he creado antes, “vpnp1”.
– Clique em “Avançado…”
Ponemos la misma encriptación que en la primera fase.
Y habilitamos PFS “Enable perfect forward secrecy” y el de “Enable replay detection”.
“DH Group” lo dejamos sólo con “5”
Em “Keylife” le dejamos el tiempo que viene predeterminado.
“Autokey Keep Alive” Nós o habilitamos.
“DHCP-IPsec” también para usar un servidor DHCP de la red.
Nós damos “OKEY”.

Nada mau, ahora debemos crear una regla para permitir estas conexiones VPN de Internet a nuestra LAN. Para fazer isso,, Nós vamos “Firewall” > “Política” > E clique em “Criar novo”.

Em “Fonte” tenemos que poner a donde queremos que vaya la encriptación de la VPN, o sea el destino (¿?), en mi ejemplo sería “interno”.
“Nome do endereço: Tudo”
Em “Destination” desde donde vendrá la conexión, en mi ejemplo todo viene por la “wan1”.
“Nome do endereço: Tudo”
Sempre queremos que esteja operativo: “Horário: Sempre”.
Que funcionem todos os protocolos, que todo o tráfego passe pela VPN, tão dentro “Serviço” Indicar “QUALQUER”.
E a diferença é que em “Ação” temos que colocar “IPSEC” para criar um túnel seguro.
Em “VPN Tunnel” indicamos qual é a nossa primeira fase, no meu caso era “vpnp1” e assinalamos os dois checks de “Allow inbound” e “Allow outbound” para que haja tráfego tanto de entrada como de saída pela VPN, Osso, que quem se conectar possa aceder a recursos da rede e que se possa aceder a ele.
Nós damos “OKEY”.

Verificamos que está nas regras de “internal -> wan1” e em “Ação” coloca “ENCRYPT”.

Nada mau, agora o que há a fazer é configurar o serviço DHCP (isto é opcional, se quisermos que quando alguém se ligue nos seja atribuída uma morada IP ou não, caso contrário, podemos configurá-lo a partir do cliente VPN). Se quisermos configurá-lo, sería, desde “Sistema” > “DHCP” > Em “wan1” > “Servidores” e clicamos em .

Okey, vamos criar um servidor DHCP para a interface “wan1” mas apenas para conexões VPN (IPSEC):
“Nome” Nós damos-lhe um nome, Por exemplo: ServerDHCPvpn
Por supuesto que tiene que estar habilitado, assim que marcar el check de “Habilitar”.
Em “Tipo” ponemos que sea “IPSEC”.
Em “IP Range” decimos que será o rango IP que se les asignará aos utilizadores quando se conecten. Les ponemos la máscara de red en “Network Mask” y una puerta de enlace (opcional), em “Domínio” simplesmente es el domínio que se supone que está en la red.
Em “Lease Time” es el tiempo que le durará esta asignación IP y cuando le caduque si él no está disponível y llega otra petición IP se la asignará a este nuevo.
“DNS Server 1”, son los servidores que le resolverán los nombres, ponemos servidores DNS de nuestra LAN.
Nós damos “OKEY”.

Comprobamos que ya sale ahí nosso servidor DHCP y está habilitado. Bien toda la configuration en el Firewall ya está realizada, ahora nos queda la parte del cliente.

Instalação, configuración y conexión del cliente VPN en un puesto mediante FortiClient,

En esta parte se explica cómo instalar el cliente VPN llamado FORTICLIENT y configurarlo para conectarnos a la VPN. Lo primero de todo será descargarlo de la web Referências HTTP://www.fortinet.com o de AQUI.

Okey, Primeiras coisas primeiro, es una instalación facil, um assistente. Clique em “Próximo”,

Sim, aceitamos a licença, Nós damos “Próximo”,

Olho!! no haremos una instalación completa, ya que eso nos instalará hasta un antivirus y si tenemos dos antivirus en el mismo PC ya se sabe lo que pasa, se bloquea el PC. Así que instalación personalizada, “Costume” e “Próximo”,

Sólo seleccionamos “IPSec VPN” para conectarnos por la VPN bastaría, Nós damos “Próximo”,

E “Instalar” para que comece a instalar…

…

Okey, un par de segundos y ya tenemos el cliente VPN instalado, “Acabar”,

Para que el cliente VPN funcione bien, hay que reiniciar, é obrigatório, así que cuando se pueda se reinicia.

Una vez reiniciado el PC, podemos abrir el FortiClient ya, desde él, pinchamos en el botón de “Avançado >>>” > “Adicionar…” para criar una conexión VPN.

Le ponemos un nombre à la conexión, y podemos decirle si la configuração IP es automática o manual, si ya hemos configurado un servidor DHCP en el firewall podemos poner “Automatic”, caso contrário, “Manual” y poner una configuração de red para que trabaje con la interfaz “interno”. Em “Authentication Method” elegimos “Preshared Key”, esta será la que pusimos antes na configuração da fase 1 no firewall. Damos “Avançado…”

Marcamos XAuth “eXtended Authentication” e em Remote Network le ponemos que es la red remota a la que se va a conectar (el rango). Nós damos “OKEY”.

Con esto ya está, agora só queda conectarse, para ele pulsamos al botón de “Ligar” y esperar que se conecte…

Nos pedirá usuario y contraseña para conectarse, ya que antes hemos puesto a la hora de configurar la fase1 que a esta VPN solo se puedan conectar los usuarios del grupo “GrupoVPNssl”, metemos el usuario y la password de un usuario perteneciente a tal grupo y damos a “OKEY”, podemos decirle que recuerde la contraseña marcando el check de “Remember my password”.

Vemos que en la barra de herramientas el icono de la red VPN de Forticlient se está conectando…

Y para comprobar que estamos conectados en el FortiClient nos pondrá el “Situação” que está “Em cima”, y ya podremos trabalhar de forma segura por la VPN a los recursos necesarios.