VPN Site to Site FortiGate 100D-60C

www.ragazome.co / @ragazome / Whatsapp 317 647 40 73 Libertad de Conocimiento / Libertad de Aprendizaje

Conectando por VPN Site to Site un FortiGate 100D con un

FortiGate 60C

Vamos a realizar el procedimiento para conectar un FortiGate 100D con un FortiGate 60C por

medio de VPN Site to Site IPSec Tunnels - Custom. El objetivo es tener dos sedes conectadas y

compartiendo recursos tecnológicos mediante esta conexión, las sedes obviamente estarán en

ubicaciones geográficas diferentes.

Los dispositivos que utilizamos en este procedimiento son:

FortiGate 100D - English

http://www.ragazome.co/


FortiGate 60C - Español

**Comenzamos con el FortiGate 100D**

1. Vamos a la opción “VPN”, dentro de esta vamos a “IPsec Tunnels” para crear la conexión

VPN hacia el FortiGate 60C.

2. Clic en “Create New” para comenzar a crear la conexión VPN.



3. Seleccionamos la opción “Custom” en el apartado “Template Type”. Con esto tendremos la

opción de personalizar la conexión.

NOTA: Si tuviéramos dos FortiGate iguales, es decir, dos 100D o dos 60C, etc. Podriamos

conectar de una manera mucho más fácil y rápida, esta sería por la opción que viene

seleccionada por defecto en color verde “Site to Site”, pero ese no es nuestro caso.

Luego de seleccionar “Custom” quedara de la siguiente manera:

Ahora debemos darle un nombre a nuestra conexión, luego clic en “Next >”



4. Vamos a configurar la conexión de la siguiente manera:

En 1 va la IP pública del dispositivo al que vamos a conectar por medio de esta VPN, en este

caso sería el 60C.

En 3 sería la clave que tendrán los dos Forti para conectarse, esta debe coincidir en las

conexiones VPN en ambos dispositivos. Esta clave la definimos nosotros, se recomienda

que sea una clave de alta complejidad y por consiguiente segura.



“Local Address” sería la red local donde está el FGT-100D y la “Remote Address” donde está

el FTG-60C. Recordemos que comenzamos con el FTG-100D.



Finalizamos con OK

Deberia quedar creada de la siguiente manera:

5. Ahora debemos crear la ruta estatica de la red a la que vamos a conectar, es decir, a la red

LAN del FGT-60C. Para esto vamos a la opción de “Network” y luego a “Static Routes”.



Vamos a crear una nueva ruta estática, Clic en “Create New” y pasaremos a crearla de la

siguiente manera. Primero debemos seleccionar en “Device” por donde se conectara la

ruta estática, esto sería por medio de la conexión VPN IPsec Tunnels que creamos en el

punto anterior. Luego daremos un nombre a esta ruta y finalizamos con “OK”.

La ruta se vería así:



6. Para terminar en este dispositivo, debemos crear las reglas en el firewall que permitirán el

trafico bidireccional de la conexión VPN.

Vamos a “Policy & Objects” y luego a “IPv4 Policy”.

Si tenemos políticas creadas previamente tenemos que definir en qué posición vamos a

crear las dos nuevas políticas, recomiendo hacerlo debajo de las políticas de

navegación/filtros que tengas ya configuradas, para ello nos ubicaremos sobre la última

política y con clic derecho vamos a crear un nueva política debajo de esta.



Aparecerá una nueva regla en la ubicación que seleccionamos, ahora damos doble clic para

editarla. Por defecto estará desactivada.

En “Name” vamos a darle un nombre, en mi caso la nombre VPN-GUAY-CTG, donde GUAY

es la sede donde está el FGT-100D y CTG donde está el FGT-60C, esta regla debe ser

primero habilitando el tráfico de esta LAN hacia la LAN de CTG FGT-60C. La segunda seria

en sentido contrario. Entonces:



Ahora vamos a crear una segunda política/regla de firewall que permita el tráfico en

sentido contrario, vamos a crearla debajo de la que acabamos de configurar.

Recordemos, esta política es igual a la anterior, pero en direcciones inversas, incluyendo el

nombre:



Quedan de la siguiente manera:

Hemos terminado con la configuración del FortiGate 100D, ahora vamos para el FortiGate

60C en la otra sede.



Configurando el FortiGate 60C

1. Este está en español, vamos a comenzar creando la conexión VPN, vamos a “VPN” y

“Tuneles”. Damos clic en “Create New”.

Ingresamos el nombre de la conexión, Seleccionamos la última opción “Túnel VPN

personalizado (No Template). Seguimos con el botón “Asistente_Siguiente”.





Comenzamos configurar la conexión de la siguiente manera:

En 1 sería la IP pública del FGT-100D y en la Llave precompatida sería la misma que

definimos en la conexión VPN en el FGT-100D, deben coincidir.





Terminamos con el botón OK. Se debería ver de la siguiente manera:

2. Ahora vamos a crear la ruta estatica apuntando a la red LAN del FTG-100D por intermedio

de esta conexión VPN que acabamos de crear.



Y quedaría así:

3. Terminaremos creando las dos políticas/reglas de firewall para permitir el trafico

bidireccional entres los FGT. Tomando como primera regla el trafico LAN del FGT-60C hacia

el FGT-100D y luego, al contrario, tal cual lo hicimos en el anterior dispositivo.



Política/regla 1: De LAN FGT-60C hacia FGT-100D.



Política/regla 2: De LAN FGT-100D hacia FGT-60C.



Y quedaría de la siguiente manera:

4. Ahora debemos verificar que las conexiones VPN estén conectadas y figuren activas en los

dispositivos.



5. También deberíamos al menos realiza pruebas de Ping entre sedes en ambas direcciones a

diferentes servidores, servicios o equipos de la red LAN de lado y lado.

Prueba PING de LAN FGT-100D hacia LAN FGT-60C

Prueba PING de LAN FGT-60C hacia LAN FGT-100D


Technology

VPN Site to Site FortiGate 100D-60C