En este documento veremos las configuraciones necesarias para poder
conectar un dispositivo iPad o iPhone a una VPN con IPsec de FortiGate,
con esto podremos hacer que las aplicaciones corporativas de nuestros
iPad/iPhone funcionen directamente, ideal para ponerle alguna aplicación
tipo softphone y llamar (o recibir llamadas) directamente desde dichos
dispositivos, ahorrando los costos de las llamadas o estando 100%
disponibles,
Podremos apoyarnos si necesitamos en estos documentos anteriores, ya
que en este documento describiremos unicamente la parte de VPN y no
hablaremos si son usuarios locales del FortiGate o autenticamos contra
un LDAP:
i) Hacer una VPN con IPSEC en Fortigate y conectarse con FortiClient – AKI.
ii) Uso de autenticación de un Fortigate contra Directorio Activo usando LDAP – AKI.
Requisitos: necesitaremos cualquier FortiGate con FortiOS superior o
igual a 4.0 MR1 Patch 1 y cualquier dispositivo iPad o iPhone con
conectividad Wifi o 3G.
Deberemos crear la fase 1 y la fase 2 desde “VPN” > “IPsec” >
“Auto Key (IKE)”, primero desde “Create Phase 1″ & a posteriori
“Create Phase 2″,
En la Phase 1 deberemos indicarle un nombre, indicar que el ‘Remote
Gateway’ será “Dialup User”, indicaremos en ‘Local Interface’ la WAN
desde la que se accederá, el ‘Mode’ seleccionamos “Main (ID protection)”
en ‘Authentication Method’ indicaremos con “Preshared Key” e indicamos
la clave que nos interesará. En ‘Peer Options’ marcamos “Accept any peer
ID”. En las opciones avanzadas indicaremos ‘IKE version’ a “1″, en
‘Local Gateway IP’ marcamos “Main Interface IP”, en las primera
encriptación marcaremos “AES256″ & en la autenticación “MD5″; en el
segundo método de encriptación “AES256″ y en la autenticación “SHA1″; en
‘DH Group’ será “2″, el ‘Keylife’ “28800″ segundos. En XAUTH marcamos
“Enable as Server”, ‘Server Type’ será “AUTO”, agregamos el grupo de
usuarios que queremos que se conecte a dicha VPN, habilitamos el ‘NAT
Traversal’ y el ‘Dead Peer Detection’.
Creamos la Phase 2, seleccionaremos la fase 1 que acabamos de
configurar. En las opciones avanzadas marcaremos de igual forma la
encriptación y la autenticación, primero será “AES256″ con “MD5″ y
segundo “AES256 con “SHA1″, habilitamos ‘Replay detection’ y ‘Perfect
forward secrecy (PFS), en el ‘DH Group’ marcamos “2″, indicamos “1800″
segundos para el ‘Keylife’, habilitamos ‘Autokey Keep Alive’ y en ‘Quick
mode selector’ en ‘Source address’ y en ‘Destionation Address’
indicaremos “0.0.0.0/0″.
Como de costumbre una vez configurada la VPN deberemos crear una
regla de firewall en “Policy” > “Policy”, especificaremos en ‘Source
Interface/Zone’ la VPN recién creada, así como en ‘Source Address’ la
red que tengamos definida para la VPN; en ‘Destination Interface/Zone’
indicaremos a donde queremos que se conecten y en ‘Destination Address’
la red a la que se conectarán. Indicaremos cuándo queremos que se
conecten en ‘Schedule’ y en ‘Service’ los servicios/puertos que
querramos permitir, finalmente en ‘Action’ marcaremos “ACCEPT” &
“OK” para guardar.
Si tenemos más reglas de FW, ésta la tendremos que colocar arriba del todo para darle más prioridad.
Y configuramos el DHCP para la red VPN por línea de comandos, con:
config vpn ipsec phase1-interface
edit NOMBRE_PHASE_1
set mode-cfg enable
set ipv4-start-ip IP_ORIGEN
set ipv4-end-ip IP_DESTINO
set ipv4-netmask MASCARA_DE_RED
Ahora, desde un iPhone o iPad, desde “Ajustes” > “General” >
“Red” > “VPN” configuraremos la nueva conexión desde “Añadir
configuración VPN…”
E introducimos los datos necesarios para conectarnos, una
descripción, el servidor VPN (nombre público) al que nos conectaremos,
un usuario con permisos para conectarse en la VPN junto a su contraseña y
en el ‘Secreto’ indicaremos la Preshared key introducida en la config
de la VPN.
No hay comentarios:
Publicar un comentario