En aquest procediment s'explica com connectar dues xarxes separades mitjançant una VPN entre dos Fortigate. L'exemple es basa en la següent imatge:

Tenemos una red 192.168.2.0/255.255.255.0 donde el firewall es el 192.168.2.1 y un PC de la red es el 192.168.2.2; tenemos otra red con la 192.168.3.0/255.255.255.0 donde el firewall es el 192.168.3.1 y un PC de la red es el 192.168.3.2. Y de por medio tenemos internet. Lo que queremos és que entre las dos xarxes es vean y puguin accedir a els recursos de les dues xarxes de forma rápida y segura amb una VPN. Ull, vemos que las IPs de las WAN són 192.168.1.X, son para aquest exemple, vemos que son IP's privadas, tenemos que suponer que son IP's públicas.

Primer, ens connectamos a uno de ellos, al 192.168.3.1 per exemple. Vamos en el menú de la izquierda “VPN” > “IPSEC” i creamos la primera fase desde “Create Phase 1”.

Li indiquem un nom, en “Name”, per exemple vpn_1. En “Remote Gateway” serà al Fortigate destino que se conectará, a su IP pública, en el meu cas és una IP fija, le indico la IP publica de la otra delegació. En “Local Interface” ponemos por cual saldrá, normalment “wan1”, modificamos el tipus de autenticación, posem “Preshared Key” i una clau que després tendremos a posar la en els altres forts iguals. Posem en “Advanced…” per veure més opcions. Modificamos el “DH Group” i marcem sólo 1 y 2. Damos a OK, amb això ens basta.

Ara hem creat una fase 2, des de “Create Phase 2”.

Li indiquem un nom, en aquest cas “tunel_vpn_1” i en “Phase 1” le indicamos la que acabem de crear “vpn_1”, posem en “Advanced…” per veure més opcions i modificarem el “DH Group” a 2. Y habilitem el “Auto Keep Alive” para que la conexión no se caiga y nos la mantenga sempre connectada. “OK”.

Tenemos que crear las direccions de les xarxes en “Firewall” > “Address”, des de “Create New”

Y en Address Name indicamos primero una red y luego la otra, en mi caso ahora “Red IP3” i en tipus l'indico que es una subred, en “Subnet / IP Range” le indico que rango tiene, en el meu cas 192.168.3.0/255.255.255.0. Posem “OK”.

Vemos que nos la ha creat correctament i ara creem una altra vermella, en el meu cas la 192.168.2.0 des de “Create New”

Indica un nom “Red IP2” en el meu cas i li especifico la subred d'aquesta LAN, 192.168.2.0/255.255.255.0. “OK”

Ahora simplemente, tenemos que crear una regla en el firewall para dar accés a la VPN. Així que des de “Firewall” > “Policy” > “Create New”

En “Source” > “Interface” indiquem “Internal” (que significa des de que red se accederá a cual y por donde. Desde la internal de la red 3, iremos a la red 2 por la wan1). En “Destination” “wan1” y “Address Name” ponem a cual, en el meu cas “Red IP2”. “Schedule” en “always” y todos los serveis “ANY”; en Action tenemos que poner “IPSEC” i en “VPN Tunnel” el tunel de la VPN “vpn_1”, acceptamos tan entrada como salida de trafico marcando “Allow inbound” y “Allow outbound”. “OK”

Ara esta regla al ser de VPN tenemos que ponerla de las primeras, así que la ponemos la primera o lo más arriba posible. “OK”. Ya hem acabado con el Fortigate de la red 192.168.3.0, ara tenemos que configurar la VPN de gairebé la mateixa forma en el altre tallafocs.

Así que nos vamos al firewall de la red 192.168.2.0 y nos ponemos a configurarlo de la misma forma. Nos conectamos a él 192.168.2.1. Vamos en el menú de la izquierda “VPN” > “IPSEC” i creamos la primera fase desde “Create Phase 1”.

Li indiquem un nom, en “Name”, per exemple vpn_1. En “Remote Gateway” serà al Fortigate destino que se conectará, a su IP pública, en el meu cas és una IP fija, le indico la IP publica de la otra delegació. En “Local Interface” ponemos por cual saldrá, normalment “wan1”, modificamos el tipus de autenticación, posem “Preshared Key” i una clau que després tendremos a posar la en els altres forts iguals. Posem en “Advanced…” per veure més opcions. Modificamos el “DH Group” i marcem sólo 1 y 2. Damos a OK, amb això ens basta. Vemos que en este caso ponemos la otra IP de Remote Gateway y tenemos que poner la misma contraseña que hemos usado para antes.

Ara hem creat una fase 2, des de “Create Phase 2”.

Li indiquem un nom, en aquest cas “tunel_vpn_1” i en “Phase 1” le indicamos la que acabem de crear “vpn_1”, posem en “Advanced…” per veure més opcions i modificarem el “DH Group” a 2. Y habilitem el “Auto Keep Alive” para que la conexión no se caiga y nos la mantenga sempre connectada. “OK”.

Tenemos que crear las direccions de les xarxes en “Firewall” > “Address”, des de “Create New”

Y en Address Name indicamos primero una red y luego la otra, en mi caso ahora “Red IP3” i en tipus l'indico que es una subred, en “Subnet / IP Range” le indico que rango tiene, en el meu cas 192.168.3.0/255.255.255.0. Posem “OK”.

Vemos que nos la ha creat correctament i ara creem una altra vermella, en el meu cas la 192.168.2.0 des de “Create New”

Indica un nom “Red IP2” en el meu cas i li especifico la subred d'aquesta LAN, 192.168.2.0/255.255.255.0. “OK”

Ahora simplemente, tenemos que crear una regla en el firewall para dar accés a la VPN. Així que des de “Firewall” > “Policy” > “Create New”

En “Source” > “Interface” indiquem “Internal” (que significa des de que red se accederá a cual y por donde. Desde la Internal de la red 2, iremos a la red 3 por la wan1). En “Destination” “wan1” y “Address Name” ponem a cual, en el meu cas “Red IP3”. “Schedule” en “always” y todos los serveis “ANY”; en Action tenemos que poner “IPSEC” i en “VPN Tunnel” el tunel de la VPN “vpn_1”, acceptamos tan entrada como salida de trafico marcando “Allow inbound” y “Allow outbound”. “OK”

Ara esta regla al ser de VPN tenemos que ponerla de las primeras, así que la ponemos la primera o lo más arriba posible. “OK”. Ya hemos acabado con los dos Fortigate (192.168.2.0 y 192.168.3.0).

Ahora simplemente, tenemos que forzar a que se conecten los firewalls, así que desde uno de ellos, anem a “VPN” > “IPSEC” > “Monitor” y levantamos la conexión desde la “flechita”.

Y vemos que la conexión ya está levantada.

Ahora simplemente desde un PC de la red, podemos comprobarlo con un tracert y ver que realmente llega el tráfico y por donde va pasando. Todo funciona!!!