Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Fortigate - VPN SSL

VPN con SSL , En este procedimiento se explica cmo configurar una VPN usando SSL para conectarse con un PC cualquiera desde internet a la LAN de la organizacin. Todo el trfico ira encriptado mediante SSL. Y tan slo es necesario tener un navegador compatible, sin instalar software. Se explican dos partes:

- Configuracin del firewall - AKI - Conexin del cliente VPN en un puesto - AKI

Configuracin de la VPN en el Fortigate, Hay que hacer unas configuraciones muy sencillas en el FW para permitir este tipo de conexiones, primero, crearemos un usuario y un grupo; para que luego la autenticacin se haga con ellos. Luego configuraremos en el FW que se pueda conectar mediante SSL.

Nos logemos en el FW, vamos a crear el usuario para luego conectarnos por VPN. En "User" > "Local" > pulsamos en "Create New".

1 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

En "User Name" ponemos el login para el usuario y en "Password" la contrasea, le damos a "OK".

2 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Ahora crearemos el grupo, ya que Fortigate no maneja usuarios. Vamos a "User" > "User Group" y pulsamos sobre "Create New".

3 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

En "Name" indicamos el nombre del grupo, por ejemplo: GrupoVPNssl y en "Type" indicamos que es del tipo "SSL VPN". En "Avaliable Users" seleccionaremos el usuario de la izquierda que nos interese meter en el grupo y lo pasaremos a la parte de la derecha pinchando en . Le tenemos que permitir que se conecte a la VPN, para ello seleccionamos el check de "Enable SSL-VPN Tunnel Service". Y si queremos podemos reestringirle si tiene un antivirus instalado, o un firewall. O si nos interesa meterle en un rango IP para cuando el servidor DHCP le vaya a asignar una IP. Para que no de problemas por la cache, marcaramos que limpie la cach, "Enable Cache Clean".

4 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Vale, vemos que en "SSL VPN" ya sale nuestro grupo. Ahora vamos a configurar la VPN en s.

5 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Para configurar la VPN vamos a "VPN" > "SSL". Tenemos que habilitarla "Enable SSL-VPN", el puerto por defecto es el 10443; este ser el puerto al que se tienen que conectar los clientes para poder conectarse, a la IP pblica de la pata WAN1 (o la que sea). En "Tunnel IP Range" indicamos cual ser el rango IP que le asignar a todos los que se conecten a la VPN (as que ya no es necesario un servidor DHCP), ponemos un rango de la LAN. En "Server Certificate" seleccionamos el del Fortigate, ese y no otro. Para ms seguridad, indicaremos que se requiera por parte del cliente seguridad de 128bit marcando "Require key kength > 128bit(high)". El "Idle Timeout" est bien como est con ese tiempo. En "DNS Server #1" decimos cual ser el servidor que le resuelva los nombres DNS de la LAN, indicamos la IP del servidor DNS de la LAN. Damos a "Apply".

6 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Ahora falta crear una poltica para permitir estas conexiones, desde "Firewall" > "Policy" > y creamos una nueva en "Create New".

7 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Vale, en la regla esta, configuramos el origen que ser "Source" la "wan1" y todo ir a mi LAN que es la pata de "internal". En "Service" ponemos "ANY" para que la VPN no cierre ningun puerto entre los que se conecten. En "Action" hay que indicarle que es "SSL-VPN", en "Available Groups" indicamos el grupo que hemos creado antes y lo marcamos como "Allowed" con . Damos a "OK" para crear la regla.

8 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Comprobamos que nuestra regla est de la WAN1 a la INTERNAL y en Action pone "SSL-VPN". Bueno, todo en la parte del firewall ya est configurado, ahora slo quedara la parte del cliente.

Conexin desde el cliente, En esta parte del documento se explica cmo se tiene que conectar un usuario cualquiera con un navegador nicamente a la red corporativa mediante la VPN SSL.

9 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Lo primero de todo es desde el PC cliente, abrir un navegador y conectarnos a la direccin IP pblica del firewall usando el protocolo SSL (HTTPS) y al puerto 10443, en mi ejemplo: https://XXX.XXX.XXX.XXX:10443. Mediante un aviso nos indicar que debemos aceptar el certificado y tenemos que continuar, en Internet Explorer 7 pulsamos en "Continue to this website", si es otro navegador es simplemente darle "OK" para aceptarlo o "Si".

Vale, ahora nos pedir un usuario y una contrasea, estos sern los que hemos creado antes, al principio de este documento. Son usuarios del firewall, pertenecientes al grupo que hemos creado antes llamado "GrupoVPNssl", un miembro de ese grupo era "usuariovpnssl", metemos su contrasea y pulsamos sobre Login. (Si no se quieren usar usuarios del FW y s del Directorio Activo, se puede usar la herramienta FSAE como se explica AKI).

10 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Abajo en Tools, podemos conectarnos nicamente a servicios especificados, si lo que queremos es que no se conecten completamente a la LAN de nuestra red, si no slo va web (Connect to Web Server) o simplemente Pings, o Telnes, o VNC o una conexin de escritorio remoto mediante "Rdp to Host". Pero en este documento se explica cmo hacer una conexin VPN en s, as que pincharemos en el link de "Activate SSL-VPN Tunnel Mode".

11 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Nos pedir para instalar un control ActiveX, as que nos lo instalamos desde la barra superior, pulsamos en "Install ActiveX Control..."

"Instalar",

12 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Vale, ahora desde esta pantalla veremos como est nuestra conexin desde "Link Status", ahora est sin conectar (Down), para conectarnos debemos pulsar en "Connect".

13 de 14

01/12/2007 1:11

Fortigate - VPN SSL

http://www.bujarra.com/ProcedimientoFortigateVPNSSL.html

Bien, ya pone que la conexin VPN est levantada "Link Status" (Up) e indica los Bytes enviados y recibidos, ya podremos trabajar con normalidad, podemos minimizar esta web y trabajar contra la red corporativa de forma segura usando los recursos que necesitemos, tendremos una IP de la LAN de la empresa y podremos acceder a los servicios que necesitemos. Si queremos desconectarnos sera tan fcil como pulsar "Disconnect".

14 de 14

01/12/2007 1:11