Configuración del acceso seguro con Fortigate Firewall

Opciones de descarga

  • PDF     (2.0 MB)
    Visualice con Adobe Reader en una variedad de dispositivos
Actualizado:2 de agosto de 2024
ID del documento:222270

Lenguaje no discriminatorio

El conjunto de documentos para este producto aspira al uso de un lenguaje no discriminatorio. A los fines de esta documentación, "no discriminatorio" se refiere al lenguaje que no implica discriminación por motivos de edad, discapacidad, género, identidad de raza, identidad étnica, orientación sexual, nivel socioeconómico e interseccionalidad. Puede haber excepciones en la documentación debido al lenguaje que se encuentra ya en las interfaces de usuario del software del producto, el lenguaje utilizado en función de la documentación de la RFP o el lenguaje utilizado por un producto de terceros al que se hace referencia. Obtenga más información sobre cómo Cisco utiliza el lenguaje inclusivo.

Acerca de esta traducción

Cisco ha traducido este documento combinando la traducción automática y los recursos humanos a fin de ofrecer a nuestros usuarios en todo el mundo contenido en su propio idioma. Tenga en cuenta que incluso la mejor traducción automática podría no ser tan precisa como la proporcionada por un traductor profesional. Cisco Systems, Inc. no asume ninguna responsabilidad por la precisión de estas traducciones y recomienda remitirse siempre al documento original escrito en inglés (insertar vínculo URL).

    Introducción

    Este documento describe cómo configurar Secure Access con Fortigate Firewall.

    Prerequisites

    Requirements

    Cisco recomienda que tenga conocimiento sobre estos temas:

    • Firewall de la versión Fortigate 7.4.x
    • Acceso seguro
    • Cisco Secure Client - VPN
    • Cisco Secure Client: ZTNA
    • ZTNA sin cliente

    Componentes Utilizados

    La información de este documento se basa en: 

    • Firewall de la versión Fortigate 7.4.x
    • Acceso seguro
    • Cisco Secure Client - VPN
    • Cisco Secure Client: ZTNA

    La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

    Antecedentes

    jmorenoc_0-1706967866629

    Cisco ha diseñado Secure Access para proteger y proporcionar acceso a aplicaciones privadas, tanto in situ como basadas en la nube. También protege la conexión de la red a Internet. Esto se consigue mediante la implementación de varios métodos y capas de seguridad, todo ello con el objetivo de preservar la información a medida que acceden a ella a través de la nube.

    Configurar

    Configuración de la VPN en Secure Access

    Vaya al panel de administración de Secure Access.

    jmorenoc_8-1706968713702

    • Haga clic en Connect > Network Connections > Network Tunnels Groups

    jmorenoc_11-1706968993787

    • En Network Tunnel Groups haga clic en + Add
      •

    jmorenoc_12-1706969034757

    • Configurar Tunnel Group Name, Regiony Device Type
    • Haga clic en Next
      •

    jmorenoc_13-1706969076844

    icono de nota

    Nota: Seleccione la región más cercana a la ubicación del firewall.
    • Configure el Tunnel ID Format y Passphrase
    • Haga clic enNext
      •

    jmorenoc_14-1706969101197

    • Configure los rangos de direcciones IP o los hosts que ha configurado en la red y que desea que el tráfico pase a través de Secure Access
    • Haga clic enSave
      •

    jmorenoc_15-1706969132539

    Después de hacer clic en Save la información sobre el túnel se muestra, guarde esa información para el siguiente paso, Configure the VPN Site to Site on Fortigate.

    Datos del túnel

    jmorenoc_16-1706969350380

    Configuración del sitio VPN a sitio en Fortigate

    Desplácese hasta el panel de Fortigate.

    • Haga clic en VPN > IPsec Tunnels
      •

    jmorenoc_1-1706970026583

    • Haga clic en Create New > IPsec Tunnels
      •

    jmorenoc_2-1706970106771

    • Haga clic en Custom , configure a Name y haga clic en Next.
      •

    jmorenoc_4-1706970207324

    En la siguiente imagen, verá cómo debe configurar los ajustes del Network artículo.

    Red

    jmorenoc_6-1706970786834

    • Network
      • IP Version :IPv4
      • Remote Gateway :Dirección IP estática
      • IP Address: Utilice la dirección IP de Primary IP Datacenter IP Address,dada en el paso Tunnel Data
      • Interface : elija la interfaz WAN que tiene previsto utilizar para establecer el túnel
      • Local Gateway : Desactivar como valor predeterminado
      • Mode Config : Desactivar como valor predeterminado
      • NAT Traversal :Habilitar
      • Keepalive Frequency :10
      • Dead Peer Detection : a demanda
      • DPD retry count :3
      • DPD retry interval :10
      • Forward Error Correction : no active ninguna casilla. 
      • Advanced...: configúrelo como la imagen.
        •

    Ahora configure el IKE Authentication.

    Autenticación

    jmorenoc_2-1707056249758

    • Authentication 
      • Method : Pre-Shared Key (Clave precompartida) como valor predeterminado
      • Pre-shared Key : Utilice el Passphrasedado en el paso Tunnel Data
        •
    • IKE 
      • Version : Elija la versión 2.
      •
    icono de nota

    Nota: Secure Access sólo admite IKEv2

    Ahora configure el Phase 1 Proposal.

    Fase 1 Propuesta

    jmorenoc_4-1707056744014

    • Phase 1 Proposal
      • Encryption : Elija AES256
      • Authentication : Elija SHA256
      • Diffie-Hellman Groups : Marque las casillas 19 y 20
      • Key Lifetime (seconds) : 86400 como valor predeterminado
      • Local ID : Utilice el Primary Tunnel ID, indicado en el paso Tunnel Data
        •

    Ahora configure el Phase 2 Proposal.

    Fase 2 Propuesta

    jmorenoc_5-1707058728877

    • New Phase 2
      • Name : Dejar como predeterminado (Esto se toma del nombre de su VPN)
      • Local Address : Dejar como predeterminado (0.0.0.0/0.0.0.0)
      • Remote Address : Dejar como predeterminado (0.0.0.0/0.0.0.0)
        •
    • Advanced
      • Encryption : Elija AES128
      • Authentication : Elija SHA256
      • Enable Replay Detection : activada de forma predeterminada (Activado)
      • Enable Perfect Forward Secrecy (PFS) : desactive la casilla de verificación
      • Local Port : activada de forma predeterminada (Activado)
      • Remote Port: activada de forma predeterminada (Activado)
      • Protocol : activada de forma predeterminada (Activado)
      • Auto-negotiate : dejar como predeterminado (sin marcar)
      • Autokey Keep Alive : dejar como predeterminado (sin marcar)
      • Key Lifetime : Dejado como predeterminado (segundos)
      • Seconds : Dejar como predeterminado (43200)
        •

    A continuación, haga clic en Aceptar. Después de unos minutos verá que la VPN se estableció con Secure Access, y puede continuar con el siguiente paso, Configure the Tunnel Interface.

    jmorenoc_0-1707060199635

    Configuración de la interfaz de túnel

    Una vez creado el túnel, se percata de que hay una nueva interfaz detrás del puerto que se utiliza como interfaz WAN para comunicarse con Secure Access. 

    Para comprobarlo, navegue hasta Network > Interfaces.

    jmorenoc_0-1707069145874

    Amplíe el puerto que utiliza para comunicarse con Secure Access; en este caso, la WAN interfaz.

    jmorenoc_1-1707069309957

    • Haga clic en el Tunnel Interface y en Edit
      •

    jmorenoc_3-1707069499072

    • Tiene la siguiente imagen que necesita configurar
      •

    jmorenoc_4-1707069648471

    • Interface Configuration 
    • IP : configure una IP no enrutable que no tenga en su red (169.254.0.1)
    • Remote IP/Netmask : configure la IP remota como la siguiente IP de su interfaz IP y con una máscara de red de 30 (169.254.0.2 255.255.255.252)
      •

    A continuación, haga clic OK  para guardar la configuración y continúe con el siguiente paso Configure Policy Route (Routing basado en el origen).

    icono de advertencia

    Advertencia: Después de esta parte, debe configurar las políticas de firewall en su FortiGate para permitir o permitir el tráfico desde su dispositivo a Secure Access y desde Secure Access a las redes que desea rutear el tráfico.

    Configurar ruta de política

    En este momento, tiene su VPN configurada y establecida para Secure Access; ahora, debe volver a enrutar el tráfico a Secure Access para proteger su tráfico o el acceso a sus aplicaciones privadas detrás de su firewall FortiGate.

    • Desplácese hasta Network > Policy Routes
      •

    jmorenoc_6-1707070544485

    • Configurar la directiva
      •

    jmorenoc_0-1707071341194

    • If Incoming traffic matches
      • Incoming Interface : elija la interfaz desde la que planea redirigir el tráfico a Secure Access (Origen del tráfico)
    • Source Address
      • IP/Netmask : utilice esta opción si sólo enruta una subred de una interfaz
      • Addresses : utilice esta opción si ha creado el objeto y el origen del tráfico proviene de varias interfaces y varias subredes
        •
    • Destination Addresses 
      • Addresses: Elegir all
      • Protocol: Elegir ANY
        •
    • Then 
      • Action: Choose Forward Traffic
    • Outgoing Interface : Seleccione la interfaz de túnel que ha modificado en el paso Configurar interfaz de túnel
    • Gateway Address: Configure la IP remota configurada en el paso RemoteIPNetmask
    • Status : Seleccione Activado
      •

    Haga clic OK para guardar la configuración; ahora está listo para comprobar si el tráfico de los dispositivos se ha redirigido a Secure Access. 

    Verificación

    Para verificar si el tráfico de su máquina fue re-enrutado a Secure Access, tiene dos opciones; puede verificar en Internet y verificar su IP pública, o puede ejecutar el siguiente comando con curl: 

    C:\Windows\system32>curl ipinfo.io { "ip": "151.186.197.1", "city": "Frankfurt am Main", "region": "Hesse", "country": "DE", "loc": "50.1112,8.6831", "org": "AS16509 Amazon.com, Inc.", "postal": "60311", "timezone": "Europe/Berlin", "readme": "https://ipinfo.io/missingauth" }

    El rango público desde donde puede ver su tráfico es desde:

    Min Host:151.186.176.1

    Max Host :151.186.207.254

    icono de nota

    Nota: Estas direcciones IP están sujetas a cambios, lo que significa que es probable que Cisco amplíe este alcance en el futuro.

    Si ve el cambio de su IP pública, significa que está siendo protegido por Secure Access, y ahora puede configurar su aplicación privada en el panel Secure Access para acceder a sus aplicaciones desde VPNaaS o ZTNA.

    Historial de revisiones

    Revisión Fecha de publicación Comentarios
    1.0
    02-Aug-2024
    Versión inicial
    TAC Authored

    Con la colaboración de ingenieros de Cisco

    • Jairo Moreno
      TAC

    ¿Resultó útil este documento?

    FeedbackComentarios

    Contacte a Cisco

    Este documento se aplica a estos productos