VPN - Configurar IPSec Site-to-Site VPN detrás de un router NAT

Configuración del túnel VPN IPSec ZyWALL/USG de la red corporativa (sede central)

1. En el ZyWALL/USG utilice el asistente de Configuración VPN para crear una regla VPN que se pueda utilizar con el FortiGate. Haga clic en Siguiente.

Configuración rápida > Asistente de configuración de VPN > Bienvenido

2. Elija Express para crear una regla VPN con la configuración predeterminada de fase 1 y fase 2 y utilice una clave precompartida como método de autenticación. Haga clic en Siguiente.

Configuración rápida > Asistente de configuración de VPN > Tipo de asistente

3. Escriba el Nombre de la regla utilizado para identificar esta conexión VPN (y la puerta de enlace VPN). Puede utilizar entre 1 y 31 caracteres alfanuméricos. Este valor distingue entre mayúsculas y minúsculas. Seleccione que la regla sea Site-to-site. Haga clic en Siguiente.

Configuración rápida > Asistente de configuración de VPN > Tipo de asistente > Configuración de VPN (Escenario)

4. Configure Secure Gateway IP como la dirección IP WAN de la sucursal (en el ejemplo, 172.100.30.40). A continuación, escriba una clave precompartida segura (8-32 caracteres).

Establezca la política local como el intervalo de direcciones IP de la red conectada al ZyWALL/USG (sede central) y la política remota como el intervalo de direcciones IP de la red conectada al ZyWALL/USG (sucursal).

Configuración rápida > Asistente de configuración de VPN > Tipo de asistente > Configuración de VPN (Configuración).

5. Esta pantalla proporciona un resumen de sólo lectura del túnel VPN. Haga clic en Save (Guardar).

Configuración rápida > Asistente de configuración VPN > Bienvenido > Tipo de asistente > Configuración VPN (Resumen)

6. Ahora la regla está configurada en la ZyWALL/USG. Aquí aparecerá la configuración de las reglas de fase

Fase 1: VPN > VPN IPSec > Puerta de enlace VPN Fase 2: VPN > VPN IPSec > Conexión VPN Configuración rápida > Asistente de configuración VPN > Bienvenido > Tipo de asistente > Configuración VPN > Asistente completado

7. Configure Peer ID Type como Any para que ZyWALL/USG no tenga que comprobar el contenido de la identidad del router IPSec remoto.

CONFIGURACIÓN > VPN > VPN IPSec > Pasarela VPN > Mostrar configuración avanzada > Autenticación > Tipo de ID de par

Configuración del túnel VPN IPSec ZyWALL/USG de la red corporativa (sucursal)

1. En el ZyWALL/USG utilice el asistente de Configuración VPN para crear una regla VPN que se pueda utilizar con el FortiGate. Haga clic en Siguiente.

Configuración rápida > Asistente de configuración de VPN > Bienvenido

2. Elija Express para crear una regla VPN con la configuración predeterminada de fase 1 y fase 2 y utilice una clave precompartida como método de autenticación. Haga clic en Siguiente.

Configuración rápida > Asistente de configuración de VPN > Tipo de asistente

3. Escriba el Nombre de la regla utilizado para identificar esta conexión VPN (y la puerta de enlace VPN). Puede utilizar entre 1 y 31 caracteres alfanuméricos. Este valor distingue entre mayúsculas y minúsculas. Seleccione que la regla sea Site-to-site. Haga clic en Siguiente.

Configuración rápida > Asistente de configuración de VPN > Tipo de asistente > Configuración de VPN (Escenario)

4. Configure Secure Gateway IP como la dirección IP WAN de la sucursal (en el ejemplo, 172.100.20.30). A continuación, escriba una clave precompartida segura (8-32 caracteres).

Configure la política local como el intervalo de direcciones IP de la red conectada al ZyWALL/USG (sede central) y la política remota como el intervalo de direcciones IP de la red conectada al ZyWALL/USG (sucursal).

Configuración rápida > Asistente de configuración de VPN > Tipo de asistente > Configuración de VPN (Configuración).

5. Esta pantalla proporciona un resumen de sólo lectura del túnel VPN. Haga clic en Save (Guardar).

Configuración rápida > Asistente de configuración VPN > Bienvenido > Tipo de asistente > Configuración VPN (Resumen)

6. Ahora la regla está configurada en la ZyWALL/USG. La configuración de las reglas de fase aparecerá aquí

Fase 1: VPN > VPN IPSec > Puerta de enlace VPN Fase 2: VPN > VPN IPSec > Conexión VPN Configuración rápida > Asistente de configuración VPN > Bienvenido > Tipo de asistente > Configuración VPN > Asistente completado

7. Configure Peer ID Type como Any para que ZyWALL/USG no tenga que comprobar el contenido de la identidad del router IPSec remoto.

CONFIGURACIÓN > VPN > VPN IPSec > Pasarela VPN > Mostrar configuración avanzada > Autenticación > Tipo de ID de par

Configurar el router NAT (utilizando el dispositivo ZyWALL USG en este ejemplo)

Nota: Estos ajustes sólo deben aplicarse si uno de sus cortafuegos está detrás de un NAT. Estos ajustes deben configurarse en el router NAT situado antes de su cortafuegos, que podría ser el router de su ISP o el router principal de la red de su oficina. A continuación, proporcionamos un ejemplo utilizando uno de nuestros dispositivos - esto es sólo para fines de referencia.

1. Seleccione la interfaz entrante en la que deben recibirse los paquetes para la regla NAT. 2. Especifique el campo IP original definida por el usuario y escriba la dirección IP de destino traducida que admite esta regla NAT.

CONFIGURACIÓN > Red > NAT > Añadir

2. El reenvío IP debe estar habilitado en el cortafuegos para los siguientes protocolos IP y puertos UDP:

Protocolo IP = 50 → Utilizado por la ruta de datos (ESP).
Protocolo IP = 51 → Utilizado por la ruta de datos (AH)
Número de puerto UDP = 500 → Utilizado por IKE (ruta de control IPSec).
Número de puerto UDP = 4500 → Utilizado por NAT-T (IPsec NAT traversal)
CONFIGURACIÓN > Política de seguridad > Control de políticas

VERIFICACIÓN:

Probar el túnel VPN IPSec

1. Vaya a CONFIGURACIÓN > VPN > VPN IPSec > Conexión VPN.

haga clic en Conectar en la barra superior. El icono de conexión de estado se ilumina cuando la interfaz está conectada.

2. 2. Compruebe el tiempo de actividad del túnel y el tráfico entrante (bytes)/saliente (bytes).

MONITOR > Monitor VPN > IPSec

3. Para comprobar si un túnel funciona o no, haga ping desde un ordenador en un sitio a un ordenador en el otro. Asegúrese de que ambos ordenadores tienen acceso a Internet (a través de dispositivos IPSec).

PC detrás de ZyWALL/USG (HQ) > Window 7 > cmd > ping 192.168.20.33

PC detrás de ZyWALL/USG (Sucursal) > Window 7 > cmd > ping 10.10.10.33

¿Qué podría ir mal?

1. Si ve el siguiente mensaje de registro [info] o [error], compruebe la configuración de la fase 1 de ZyWALL/USG. Tanto el ZyWALL/USG de la sede central como el de la sucursal deben utilizar la misma clave precompartida, cifrado, método de autenticación, grupo de claves DH y tipo de ID para establecer el IKE SA.

MONITOR > Registro

2. Si ve que la Fase 1 del proceso IKE SA se ha completado pero sigue apareciendo el mensaje de registro [info], compruebe la Configuración de Fase 2 de ZyWALL/USG. Tanto el ZyWALL/USG de la sede central como el de la sucursal deben utilizar el mismo protocolo, encapsulación, cifrado, método de autenticación y PFS para establecer el IKE SA.

MONITOR > Registro

3. Asegúrese de que las políticas de seguridad de ZyWALL/USG de la sede central y de la sucursal permiten el tráfico VPN IPSec. IKE utiliza el puerto UDP 500, AH utiliza el protocolo IP 51 y ESP utiliza el protocolo IP 50.

4. 4. Por defecto, NAT traversal está activado en ZyWALL/USG, asegúrese de que el dispositivo IPSec remoto también tiene activado NAT traversal.