Cato Cloud a FortiGate a través de Túneles HA IPSec

Este artículo discute cómo conectar un IPsec Site con dispositivos FortiGate en una configuración de Alta Disponibilidad (HA) a la Cato Cloud.

Resumen de Cato a FortiGate VPN con sitios IPsec

Este artículo asume que estás trabajando en un entorno con un FortiGate conectado a Internet con dos enlaces WAN donde vamos a construir las conexiones IPSec a dos PoPs de Cato.

image.png

La IP del Cato PoP se puede obtener asignando una nueva dirección IP (o usando una antigua) desde la Aplicación de Cato Management en Network > IP Allocations. Recomendamos que elijas la IP primaria para la ubicación del PoP que esté más cerca del Site y la IP secundaria de una ubicación PoP diferente.

Nota: Esta configuración en este artículo fue probada con la versión de firmware 7.0.8.

IKEv2 con Sitio iniciado por Cato - Configurando el Dispositivo FortiGate (CLI)

Esta sección explica cómo configurar el dispositivo FortiGate para un IPsec Site de Cato IKEv2 con Routing iniciado por Cato.

Conéctate por SSH a tu dispositivo FortiGate con una cuenta de administrador.

Para configurar el dispositivo FortiGate para conectarse a un sitio iniciado por IKEv2 Cato:

  1. Ingresa los ajustes para definir la fase 1 de IPsec:

    config vpn ipsec phase1-interface
    edit "CATO_IPSECV2-1" #[Nombre VPN Principal]
        set interface "wan1"  #[Interfaz WAN de red de sitio FGT local]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments "VPN Principal a CATO Cloud XCATD01"
        set dhgrp 16
        set remote-gw #[Cato POP 1 IP]
        set psksecret  #[PSK principal configurado por Cato]
    next
end

config vpn ipsec phase1-interface
    edit "CATO_IPSECV2-2" #[Nombre VPN Secundario]
        set interface "wan2" #[Interfaz WAN de red de sitio FGT secundario - si no está disponible usa la misma interfaz WAN]
        set ike-version 2
        set keylife 19800
        set peertype any
        set net-device disable
        set proposal aes256gcm-prfsha512
        set comments "VPN Secundario a CATO Cloud XCATD01"
        set dhgrp 16
        set remote-gw #[Cato POP 2 IP]
        set psksecret #[PSK secundario configurado por Cato]
     next
end

  2. Ingresa los ajustes para definir la fase 2 de IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_IPSECV2-1" #[Nombre de Fase 2 VPN]
        set phase1name "CATO_IPSECV2-1" #[Nombre de Fase 1 VPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
    edit "CATO_IPSECV2-2” #[Nombre de Fase 2 VPN]
        set phase1name "CATO_IPSECV2-2” #[Nombre de Fase 1 VPN]
        set proposal aes256gcm
        set dhgrp 16
        set keylifeseconds 3600
    next
end

  3. Enruta el tráfico a través del túnel VPN a la Cato Cloud.

    Puedes hacer esto con Routing estático o dinámicamente usando BGP. En este ejemplo estamos utilizando Routing estático.

    config router static
   edit #[ID de ruta única FGT local]
        set dst 172.101.0.0 255.255.255.0 #[Subred remota CATO Networks]
        set distance 1
        set device "CATO_IPSECV2-1"
    next
   edit #[ID de ruta única FGT local]
        set dst 172.101.0.0 255.255.255.0 #[Subred remota CATO Networks]
        set priority 10
        set distance 1
        set device "CATO_IPSECV2-2”
    next
    edit #[ID de ruta única FGT local]
        set dst 172.101.0.0 255.255.255.0 #[de lo contrario, enviar al agujero negro - Subred remota CATO Networks]
        set blackhole enable
        set distance 254
    next
end

  4. (Opcional) Crea una zona, lo cual facilita la creación de una nueva regla o si necesitas cambiar los nombres de la VPN.

    config system zone
    edit "Cato-Cloud-S2S" #[Nombre de Zona]
        set intrazone allow
        set interface "CATO_IPSECV2-1" "CATO_IPSECV2-2" #[los 2 VPN IPSEC]
    next

    ¡ADVERTENCIA! Esta configuración de zona podría causar problemas en algunas versiones del sistema operativo FortiOS.

  5. Configura la política del firewall con reglas que permitan el tráfico dentro del túnel.

    config firewall policy
    edit #[ID regla FGT local]
        set name "CATO Firewall"
        set srcintf "Virtual Lan" #[Interfaz de red de sitio FGT local]
        set dstintf "Cato-Cloud-S2S"#[Zona VPN de redes CATO remota o interfaces VPN]
        set action accept
        set srcaddr "all" #[Mejores prácticas: filtrar por dirección local / grupo]
        set dstaddr "all" #[Mejores prácticas: filtrar por dirección CATO / grupo]
        set schedule "always"
        set service "ALL"
    next
end

IKEv1 Agresivo (Sitio Iniciado por Firewall) - Configurando el Dispositivo FortiGate (CLI)

Esta sección explica cómo configurar el dispositivo FortiGate para un IPsec Site de Cato IKEv1 donde el Routing se inicia por el dispositivo FortiGate para admitir dirección IP pública dinámica para el tráfico WAN.

Nota: Esta configuración en este artículo fue probada con la versión de firmware 7.0.8.

Para configurar el dispositivo FortiGate para conectarse a un sitio iniciado por Firewall IKEv1:

  1. Ingresa los ajustes para definir la fase 1 de IPsec:

    config vpn ipsec phase1-interface
edit "CATO_Cloud_M1" #[Nombre VPN Principal]
        set interface "wan1" #[Interfaz WAN de red de sitio FGT local]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "<site_name>.<acc_name>" #[Establecer el ID local - Puede obtenerlo de Configuración de Sitio -> Menú IPsec]
        set dhgrp 16
        set remote-gw  #[Cato pop IP principal]
        set psksecret #[PSK principal configurado por Cato]
next
edit "CATO_Cloud_M2" #[Nombre VPN Secundario]
        set interface "wan2" #[Interfaz WAN de red de sitio FGT secundario - si no está disponible usa la misma interfaz WAN]
        set keylife 19800
        set mode aggressive
        set peertype any
        set net-device disable
        set proposal aes256-sha512
        set localid "<site_name>.<acc_name>" #[Establecer el ID local - Puede obtenerlo de Configuración de Sitio -> Menú IPsec]
        set dhgrp 16
        set remote-gw  #[Cato pop IP secundario]
        set psksecret #[PSK secundario configurado por Cato]
next

  2. Ingresa los ajustes para definir la fase 2 de IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_Cloud_M1" #[Nombre de Fase 2 VPN]
        set phase1name "CATO_Cloud_M1" #[Nombre de Fase 1 VPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Phase2"
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_M2" #[Nombre de Fase 2 VPN]
        set phase1name "CATO_Cloud_M2" #[Nombre de Fase 1 VPN]
        set proposal aes256-sha256
        set dhgrp 16
        set auto-negotiate enable
        set comments "Phase2"
        set keylifeseconds 3600
    next

  3. Enruta el tráfico a través del túnel VPN a la Cato Cloud.

    Puedes hacer esto con Routing estático o dinámicamente usando BGP. En este ejemplo estamos utilizando Routing estático.

    edit #[ID de ruta única FGT local]
        set dst 10.254.254.0 255.255.255.0  #[Subred remota CATO Networks]
        set distance 1
        set device "CATO_Cloud_M1"

next
edit #[ID de ruta única FGT local]
        set dst 10.254.254.0 255.255.255.0  #[Subred remota CATO Networks]
        set distance 1
        set priority 20 #[Esto será la conexión de respaldo, por lo que se necesita una prioridad más alta]
        set device "CATO_Cloud_M2"
next
edit #[ID de ruta única FGT local]
        set dst 10.254.254.0 255.255.255.0 #[de lo contrario, enviar al agujero negro - CATO Networks]
        set blackhole enable
        set distance 254    
next

  4. (Opcional) Crea una zona, lo cual facilita la creación de una nueva regla o si necesitas cambiar los nombres de la VPN.

    config system zone
    edit "Cato-Cloud-Dial-up" #[Nombre de Zona]
        set intrazone allow
        set interface " CATO_Cloud_M1" " CATO_Cloud_M2" #[los 2 VPN IPSEC]
    next

    ¡ADVERTENCIA! Esta configuración de zona podría causar problemas en algunas versiones del sistema operativo FortiOS.

  5. Configura la política del firewall con reglas que permitan el tráfico dentro del túnel.

    config firewall policy
    edit #[ID regla FGT local]
        set name "CATO Firewall"
        set srcintf "Virtual Lan" #[Interfaz de red de sitio FGT local o interfaces]
        set dstintf "Cato-Cloud-Dial-up"#[Zona VPN de redes CATO remota o interfaces VPN]
        set action accept
        set srcaddr "all" #[Mejores prácticas: filtrar por dirección local / grupo]
        set dstaddr "all" #[Mejores prácticas: filtrar por dirección CATO / grupo]
        set schedule "always"
        set service "ALL"
    next
end

Sitio IKEv1 - Configurando FortiOS VS 3 (CLI)

Esta sección explica cómo configurar FortiOS VS3 para un IPsec Site de Cato IKEv1 para admitir dirección IP pública dinámica para el tráfico WAN.

Para configurar un FortiOS VS 3 para conectarse a un sitio IPsec IKEv1:

  1. Ingresa los ajustes para definir la fase 1 de IPsec:

    config vpn ipsec phase1
    edit "Cato"
        set interface "wan1"
        set localid "<site_name>.<acc_name>" #[Establecer el ID local - Puede obtenerlo de Configuración de Sitio -> Menú IPsec] 
        set nattraversal enable
        set proposal aes256-sha1
        set keylife 86400
        set mode aggressive
        set add-gw-route enable
        set remote-gw <ip> #[Cato PoP IP secundario]
        set psksecret #[PSK principal configurado por Cato]
     next
end

  2. Ingresa los ajustes para definir la fase 2 de IPsec:

    config vpn ipsec phase2
    edit "Cato"
        set keepalive enable
        set pfs enable
        set phase1name "Cato"
        set proposal aes256-sha1
        set replay enable
        set keylifeseconds 3600
        set src-subnet 10.230.230.0 255.255.255.0
    next

  3. Configura la regla del firewall:

        edit <name> #[el nombre de la regla de firewall]
        set srcintf "internal"
        set dstintf "wan1"
            set srcaddr "all"
            set dstaddr "all"
        set action ipsec
        set schedule "always"
            set service "ANY"
        set logtraffic enable
        set inbound enable
        set outbound enable
        set vpntunnel "Cato"
   next

  4. Configura el Routing para el Site:

    config router static
     edit X
        set device "Cato” #[el nombre de ipsec]
        set dst 10.230.230.0 255.255.255.0 #[Subred remota CATO Networks]
        next
end
config router static
    edit Y
        set blackhole enable
        set dst 10.230.230.0 255.255.255.0 #[Subred remota CATO Networks] 
        set distance 254
    next 
end

Sitio IKEv2 – Configurando Cato IPsec IKEv2 Solo Responder con FortiGate

Esta sección explica cómo configurar FortiOS para un Site de respuesta solo de Cato IPsec IKEv2 para admitir dirección IP pública dinámica para el tráfico WAN. Esta parte del artículo explica una configuración de VPN basada en rutas.

This configuration was tested on FortiOS 6.0.X and on FortiOS 7.0.X.

Lo primero que debes hacer es crear el Site IKEv2 en el CMA y en los ajustes de IPsec elegir el modo de conexión como Responder solo. De esta manera, Cato no iniciará la conexión.

Aparecerá un nuevo sub-menú que te dará la opción de seleccionar un Identificador de Autenticación. Selecciona aquí la opción KEY_ID. The system will proceed and generate a Local.ID in this form: [XXXXXXXX].[SiteID]. Configura el PSK y el Grupo DH a 16.

Para configurar la configuración de IPsec para el FortiOS:

  1. Ingresa los ajustes para definir la fase 1 de IPsec:

    configurar vpn ipsec fase1-interfaz
    editar "CATO_Cloud_MK21" #[Nombre VPN Primario] 
        establecer interfaz "wan1" #[Interfaz WAN de red del sitio local como WAN]
        setear versión-ike 2
        establecer tiempo-vida 19800
        establecer tipopeer cualquiera
        establecer cfg modo desactivado
        establecer propuesta aes256gcm-prfsha512
        establecer idlocal "[XXXXXXXX].[ID de sitio]" #[Establecer el ID local - Puedes obtenerlo de Configuración del Sitio -> menú IPsec]
        establecer comentarios "IPSEC Primaria 2 Cato FW Iniciado"
        establecer dhgrp 16
        establecer nattraversal forzado
        establecer gwremota         #[IP primaria de PoP de Cato]
        establecer psksecreto        #[PSK configurado primario de Cato]
    siguiente
    editar "CATO_Cloud_MK22" #[Nombre VPN Secundario] 
        establecer interfaz "wan2" #[Interfaz WAN de red del sitio secundario – si no está disponible usa la misma interfaz WAN
        setear versión-ike 2
        establecer tiempo-vida 19800
        establecer tipopeer cualquiera
        establecer cfg modo desactivado
        establecer propuesta aes256gcm-prfsha512
        establecer idlocal "[XXXXXXXX].[ID de sitio]" #[Establecer el ID local - Puedes obtenerlo de Configuración del Sitio -> menú IPsec]
        establecer comentarios "IPSEC Secundaria 2 Cato FW Iniciado copia de seguridad"
        establecer dhgrp 16
        establecer gwremota     #[IP secundaria de PoP de Cato]
        establecer psksecreto    #[PSK configurado secundario de Cato]
    siguiente

  2. Ingresa los ajustes para definir la fase 2 de IPsec:

    config vpn ipsec phase2-interface
    edit "CATO_Cloud_MK22" #[Nombre de Fase 2 VPN]
        set phase1name "CATO_Cloud_MK22" #[Nombre de Fase 1 VPN] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next
    edit "CATO_Cloud_MK21" #[Nombre de Fase 2 VPN]
        set phase1name "CATO_Cloud_MK21" #[Nombre de Fase 1 VPN] 
        set proposal aes256-sha512
        set dhgrp 16
        set auto-negotiate enable
        set keylifeseconds 3600
    next

  3. Enruta el tráfico a través del túnel VPN a la Cato Cloud:

    config router static
    edit X #[ID de ruta única FGT local]
        set dst 10.254.254.0 255.255.255.0 #[Subred remota Cato Networks – reemplazar según convenga]
        set device "CATO_Cloud_MK21"
    next
    edit Y #[ID de ruta única FGT local]
        set dst 10.254.254.0 255.255.255.0 #[Subred remota Cato Networks – reemplazar según convenga]
        set priority 10 #[Esto será la conexión de respaldo, por lo que se necesita una prioridad más alta]
        set device "CATO_Cloud_MK22"
    next
    edit Z #[ID de ruta única FGT local]
        set dst 10.254.254.0 255.255.255.0 #[de lo contrario, enviar al agujero negro - Cato Networks]
        set distance 254
        set blackhole enable
    next

  4. Configura la política del firewall con reglas que permitan el tráfico dentro del túnel.

    config firewall policy
    edit #[ID regla FGT local]
        set name "From_Cato_Primary_IPsec"
        set srcintf "CATO_Cloud_MK21" #[Zona VPN de redes Cato remota o interfaces VPN]
        set dstintf "internal_LAN" #[Interfaz de red de sitio FGT local o interfaces]
        set srcaddr "all" #[Mejores prácticas - filtrar por dirección Cato / grupo]
        set dstaddr "all" #[Mejores prácticas - filtrar por dirección local / grupo]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[No necesario en versiones más nuevas de FortiOS]
        set comments "Tráfico desde el IPsec principal de Cato"
    next
    edit #[ID regla FGT local]
        set name "To_Cato_Primary_IPsec"
        set srcintf "internal_LAN" #[Interfaz de red de sitio FGT local o interfaces]
        set dstintf "CATO_Cloud_MK21" #[Zona VPN de redes Cato remota o interfaces VPN]
        set srcaddr "all" #[Mejores prácticas - filtrar por dirección local / grupo]
        set dstaddr "all" #[Mejores prácticas - filtrar por dirección Cato / grupo]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[No necesario en versiones más nuevas de FortiOS]
        set comments "Tráfico desde la red local al IPsec principal de Cato"
    next
    edit #[ID regla FGT local]
        set name "From_Cato_Secondary_IPsec"
        set srcintf "CATO_Cloud_MK22" #[Zona VPN de redes Cato remota o interfaces VPN]
        set dstintf "internal_LAN" #[Interfaz de red de sitio FGT local o interfaces]
        set srcaddr "all" #[Mejores prácticas - filtrar por dirección Cato / grupo]
        set dstaddr "all" #[Mejores prácticas - filtrar por dirección local / grupo]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[No necesario en versiones más nuevas de FortiOS]
        set comments "Tráfico desde el IPsec secundario de Cato"
    next
    edit #[ID regla FGT local]
        set name "To_Cato_Secondary_IPsec"
        set srcintf "internal_LAN" #[Interfaz de red de sitio FGT local o interfaces]
        set dstintf "CATO_Cloud_MK22" #[Zona VPN de redes Cato remota o interfaces VPN] 
        set srcaddr "all" #[Mejores prácticas - filtrar por dirección local / grupo]
        set dstaddr "all" #[Mejores prácticas - filtrar por dirección Cato / grupo]
        set action accept
        set schedule "always"
        set service "ALL"
        set logtraffic all
        set fsso disable #[No necesario en versiones más nuevas de FortiOS]
        set comments "Tráfico desde la red local al IPsec secundario de Cato"
    next
end

Configurando el Dispositivo FortiOS con la GUI

Para configurar un FortiOS para conectarse a un sitio IPsec IKEv2 iniciado por FW vía GUI:

  1. Configuración de los ajustes de IPsec de FortiOS:

    1. Vaya a VPN > Asistente IPsec, e ingrese el nombre del VPN y seleccione el nombre de la plantilla – Personalizado. Haga clic en Siguiente.

      image001.png

    2. En la siguiente pantalla configure como se indica a continuación:

      image002.png
      image003.png
      image004.png
      image005.png

  2. Configure las configuraciones de la Política de Firewall:

    Cree una Política de Firewall para permitir el tráfico desde y hacia el sitio IPsec de Cato. Vaya a Política > Objetos > Política de Firewall y haga clic en Crear Nuevo. Sugerimos permitir todo el tráfico de todas las redes de FW pero puede seleccionar el origen / destino / servicios como prefiera.

    image006.png

    Nota: Usualmente no necesitas hacer NAT a tu tráfico.

  3. Configure las rutas estáticas:

    Finalmente, añade la ruta desde la Red > Rutas estáticas > Crear nuevo. Compílalo con el rango IP de Cato que deseas acceder a través de la conexión IPsec.

    image007.png
    1. Para crear el túnel de respaldo repita el proceso (1. Creación de conexión IPsec con un IP de PoP diferente de Cato / 2. Creación de Política FW para el nuevo IPsec) y al llegar a la fase de enrutamiento establezca la prioridad / distancia administrativa en un número más alto.

    2. Configure las configuraciones de enrutamiento dinámico para el sitio en la Cato Management Application. Defina las IP privadas para los túneles primario y secundario del sitio.

      Si desea tener un enrutamiento dinámico configurado en su entorno, tendrá que omitir el paso 4.

      image008.png

    3. Configure las configuraciones BGP primarias y secundarias para el sitio.

      image009.png
  4. Configure los ajustes de enrutamiento dinámico en la GUI de FortiGate.

    1. Configure cada una de las interfaces con Cato y las IP privadas de FortiGate y habilite el acceso administrativo de Ping:

      image011.png
      image012.png

    2. Vaya a Red > BGP y cree dos nuevos vecinos reflejando la configuración de Cato:

      image013.png

    3. Configure el AS local con las mismas configuraciones que la Cato Management Application:

      image014.png

    4. Haz clic en Guardar .

      Verás que ambos túneles están arriba y en la Cato Management Application en Configuración del Sitio > BGP, el estado es Establecido a través de conexión entrante en ambas conexiones IPsec:

      image015.png

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 0 de 0

0 comentarios