En este documento vamos a describir el proceso de levantar una VPN entre un firewall Fortinet y nuestra organización de VMware Vcloud director. Para poder levantar una VPN IPSEC necesitamos solicitar una IP publica para realizar la conexión.
Una vez estemos logados en nuestra organización seguiremos los siguientes pasos para levantar la VPN en VMware Vcloud director:
1. Una vez tengamos la IP publica solicitada, nos dirigimos a “Redes” – “Puerta de enlace Edge” para poder ver los routers que tenemos.
2. Seleccionamos el router del cual nos han dado IP publica y desde dentro nos dirigimos a “SERVICIOS” – “VPN de IPSEC”.
3. Desde “VPN de IPSEC” nos dirigimos a “NUEVA” y nos abrirá una ventana en la cual comenzaremos el proceso de configuración de la VPN en la parte.
4. En dicha ventana tenemos que rellenar los campos
- “Nombre”: Nombre que le asignamos a la VPN.
- “Descripción”: breve descripción del uso de la VPN.
5. En la siguiente pestaña tenemos que añadir una “Clave compartida previamente”, que es una contraseña para que se establezca la fase 1 de nuestra VPN. Dicha contraseña, aconsejamos que sea autogenerada, de 16 o más caracteres y con símbolos o caracteres raros.
6. Tras seleccionar la key y pulsar next, nos abrirá una nueva sección en la cual rellenaremos los siguientes datos en “Local Endpoint”:
- “DIRECCIÓN IP”: en este campo ponemos la IP publica que hemos solicitado.
- “REDES”: en este campo tenemos que poner nuestra red interna desde la cual nos conectaremos.
7. Una vez relleno el “Local Endpoint”, añadiremos los datos para el “Remote endpoint”:
- “DIRECCIÓN IP”: en este campo ponemos la IP publica a la que nos conectamos.
- “REDES”: en este campo tenemos que poner la red externa a la cual nos conectaremos.
8. Con los datos anteriormente creados ya tendremos la VPN creada correctamente para Vcloud por lo que en siguiente paso realizaremos la creación de la VPN en el Forti.
9. Desde nuestro Fortinet, nos dirigimos al menú de “VPN” -> “IPSEC TUNNELS”.
10. Pulsaremos el botón “Create new” -> “IPSEC Tunnel”. Dicho botón, nos cambiará a una nueva ventana en la cual pondremos el nombre de la VPN y el tipo de template que será “Custom”.
11. Tras pulsar el botón “Next”, comenzaremos a configurar las fases de la VPN. Comenzaremos con la sección “Network”, en ella modificaremos los parámetros:
- “IP Address”: En el pondremos la IP publica de Vcloud.
- “Interface”: En el pondremos la interfaz de salida de la VPN.
- “Auto Discovery sender”: ponerlo en enabled.
- “Auto Discovery receiver”: ponerlo en enabled.
- “Device creation”: ponerlo en enabled.
12. Tras completar la sección “Network”, tenemos la sección “Authentication”, en la cual tenemos que poner la “Pre-shared key” y la IKE versión 2.
13. Posteriormente, configuramos la fase 1 en la siguiente sección “Phase 1 Proposal”. En ella ponemos de encriptación AES128 con autenticación SHA256 y en el grupo de “Diffie-Hellman” seleccionamos el 14.
14. Tras tener la fase 1 configurada, comenzamos a configurar la fase 2. En ella tenemos que modificar los siguientes parámetros:
- “Local Address”: en esta ponemos la red interna del Fortinet.
- “Remote Address”: en esta ponemos la red interna de Vcloud.
- “Encryption”: en esta dejamos solo “AES128GCM”.
- “Diffie-Hellman Group”: en este dejamos solo el 14.
15. Tras configurar la fase 2, pulsaremos el botón “Ok” y crearemos la VPN. Tras crear la VPN, para que tengamos un correcto funcionamiento tenemos que crear también una regla de “entrada -> salida” desde la red LAN a la interfaz de la VPN y una regla “salida -> entrada” desde la red LAN a la interfaz de la VPN.
16. También, tenemos que crear una ruta estática en la cual tenemos que poner como destino la red de Vcloud y la interfaz la VPN.
