INTRODUCCION:

Estos ultimos dias me han hablado mucho sobre este equipo Fortigate 100D, donde recalcan su performance, seguridad y versatilidad. Ciertamente fue mi ultima adquisicion y tras unas horas de estudio logre configurarlo y revisarlo un poco mas a fondo, es por eso que decidi crear este espacio donde les mostrare como crear una VPN IPSEC paso a paso usando este gran dispositivo.

CONFIGURACION:

1. Si tenemos el equipo restablecido con los parametros de fabrica, debemos tener en cuenta los siguientes datos (por defecto)




2. En este caso utilizaremos la conexion INTERNAL que equivale a nuestra RED LOCAL.Conectamos el cable de red a uno de los puertos switch del equipo que trae 16 puertos.
El IP por defecto es 192.168.1.99, asi que cambiamos nuestro IP a alguno del rango 192.168.1.0.

Accedemos a la direccion con SSL: https://192.168.1.99 ,con usuario admin y contraseña vacia (en blanco)



3. Una vez dentro, en el apartado Network/Interface, fijamos los siguientes datos: (los importantes para la VPN)



internal: 192.168.100.99/255.255.255.0 (cambie a otro rango para mayor comodidad)
wan1: 192.168.1.240 (Un IP libre en mi red principal)




4. Nos dirigimos a Policy/Policy/Policy ,opcion Create New, donde llenamos los datos:
Source Interface/Zone: internal (interfaz de nuestra red local por defecto)
Source Address: RED LOCAL (He creado un rango de IP en este caso 192.168.100.0/255-255-255.0 Interface: ANY)
Destination Interface/Zone: wan1 (Interfaz de salida a internet, por defecto)
Destination Address: all (equivalente a 0.0.0.0, todo)
Schedule: always (default)
Service: ANY (todos los puertos, servicios)
Action: Accept (OK, default)
Activar Enable NAT, Use destination Interface address.

Aceptamos los cambios.


5. Escogemos Router/Static/Static Route, Create New ,llenamos lo siguiente:
Destination IP/Mask: 0.0.0.0 0.0.0.0
Device: wan1 (salida a internet)
Gateway: 0.0.0.0


Aceptamos los cambios

6. Hasta aqui ya tenemos configurado el equipo de tal manera que la red 192.168.100.0 ya puede navegar por internet con toda normalidad atraves de la interfaz wan1.


CONFIGURAR VPN IPSEC:


7. Nos dirigimos al menu User/User/User, Create New. donde llenamos los datos:
User Name: cualquiera (en este caso: prueba)
Password: cualquiera (en este caso lo mismo: prueba)


8. Nos vamos a User group, escogemos el grupo creado por defecto que es Guest-group, de lo contrario podemos crear uno nuevo.
Movemos el usuario a la derecha para agregarlo al grupo.



Aceptamos los cambios

9. Escogemos menu VPN. IPSEC, Auto Key (IKE), Create FortiClient VPN
Llenamos los siguientes datos:
Name: cualquier (en este caso: fortivpn2014)
Local Outgoing Interface: wan1 (salida a internet)
Authentication Method: Pre-shared key
Pre-shared Key: cualquiera (en este caso fortinet12345)
User Group: Escogemos el grupo creado anteriormente (En este caso Guest-group, por defecto)
Address Range Start IP: 192.168.100.10 (Inicio de direcciones disponibles en nuestra red)
Address Range End IP: 192.168.100.20 (Fin de direcciones disponibles en nuestra red)
Subnet Mask: 255.255.255.0

Activar Split Tunnel, si deseamos navegar por internet y usar la VPN al mismo tiempo.

Aceptamos los cambios

10. Seguidamente escogemos Create Phase 2, y llenamos los datos:

Name: cualquiera, (en este caso forti VPN_2)
Phase 1: Escogemos el anterior creado fortivpn2014

11. Finalmente nos dirigimos a Policy/Policy/Policy, Create New,
Llenamos lo siguiente:

Source Interface/Zone: fortivpn2014 (de la lista)
Source Address: Creamos una lista de direcciones, nombre: vpn direccones, rango 192.168.100.10 al 192.168.100.20)
Destination Interface/Zone: internal (nuestra red local)
Destination Address: RED LOCAL (de la lista)
Schedule: always (default)
Service: ANY (todos)
Action: Accept (default)




Aceptamos los cambios.

12. Debemos de crear otra politica pero esta vez inversa:
Create New y Llenamos lo siguiente:

Source Interface/Zone: internal (de la lista)
Source Address: RED LOCAL (nuestra red local)
Destination Interface/Zone: fortivpn2014 (de la lista)
Destination Address: vpn direcciones (la lista de ip creada anteriormente)
Schedule: always (default)
Service: ANY (todos)
Action: Accept (default)



13. Instalamos el software FortiClient 5.22 en el equipo remoto para realizar las pruebas, donde se deben llenar los parametros de servidor, en este caso. como modo IPSEC, apuntar a la direccion 192.168.1.240, usuario prueba, contraseña prueba, y conectar!.

Anexo: Video Explicativo



Adicionalmente:

ABRIR PUERTOS (PORT FORWARDING)


1. Nos dirigimos a Firewall Objects/Virtual IP/Virtual IP ,Create New.
2. Llenamos los datos:
Name: Cualquier nombre, en este caso: puerto ftp
External Interface: wan1 (salida a internet)

External IP Address/Range: 192.168.1.240-192.168.1.240 (IP wan1)
Mapped IP Address/Range: 192.168.100.100-192.168.100.100 (IP con el servidor FTP)

Activamos Port Forwarding
Marcamos el protocolo TCP (En este caso)
External Service Port 21-21
Map to Port: 21


Aceptamos los cambios

3.Nos dirigmos a Firewall Objects/Virtual IP/Virtual Group ,Create New.

Llenamos los datos:
Group Name: Cualquiera (en este caso: prueba puertos)
Movemos las Virtual IP's disponibles hacia abajo, en este caso: puerto ftp



Aceptamos los cambios

4.Regresamos a Policy/Policy/Policy, Create New,
Llenamos los siguientes datos:
Source Interface/Zone: wan1 (salida a internet)
Source Address: all (todo)
Destination Interface/Zone: internal (Nuestra red local)
Schedule: always (default)
Service: FTP
Action: Accept (default)

Activamos Enable NAT




Aceptamos los cambios


5. Para probar el puerto, ingresamos a nuestro servidor FTP desde otra ubicacion o red usando la direccion ftp://IP_wan1:21 (en este caso ftp://192.168.1.240:21)





1. INTRODUCCION

Este articulo nacio de la necesidad de poder realizar llamadas punto a punto de manera gratuita sin contar con algun proveedor de llamadas IP y con solo contar con algunas de las opciones mencionadas mas adelante ya sea un telefono IP, un Adaptador Telefonico IP (ATA), un computador o laptop, una tablet o un celular inteligente (smartphone).

La configuracion es sencilla, involucra los siguientes pasos:
a) Apertura de puertos en el router principal.
b) Configuracion del dispositivo de llamadas (telefono IP, ATA, Softphone eyeBeam, Smartphone o tablet Android)

2. ESQUEMA DE RED


 Les presento los posibles escenarios de red, de acuerdo a nuestras necesidades.
Topologia de red

3. CONFIGURACION:

3.1 CONFIGURACION DE DISPOSITIVO DE LLAMADA

3.1.1 LINKSYS SPA-3102 ATA

Como primer paso se debe conocer el IP del equipo que viene de fabrica para poder acceder a el.
En este caso lo tengo configurado con la direccion IP 192.168.1.99, accedemos en el navegador a:
http://192.168.1.99, no olvidar entrar en modo administrador en los enlaces ADMIN LOGIN y ADVANCED en lado derecho.

En la pestaña Router, WAN Setup, tengo los siguientes datos.

Ejemplo:
Direccion IP: 192.168.1.99
Mascara de subred: 255.255.255.0 
Puerta de Enlace: 192.168.1.1
DNS: 200.48.225.130 y 200.48.225.146





Luego ingresamos a la pestaña VOICE, SIP, tenemos lo siguiente (por default)





En la misma pestaña en la parte inferior, tenemos algunos parametros de NAT, configuramos tal y como esta en la siguiente imagen.


Como dato adicional, si al finalizar la guia tenemos problemas en las llamadas como perdida de audio en ambos lados o tiempos de espera muy largos sugiero cambiar el servidor STUN.

 Aqui una lista:
List of Public STUN servers
faq940-7542
Posted: 4 Feb 12 (Edited 6 Feb 12)

Copied directly from http://www.voip-info.org/wiki/view/STUN

They seem to have updated the list of public stun servers recently

Public STUN servers

    provserver.televolution.net
    sip1.lakedestiny.cordiaip.com
    stun1.voiceeclipse.net
    stun01.sipphone.com
    stun.callwithus.com
    stun.counterpath.net
    stun.endigovoip.com
    stun.ekiga.net (alias for stun01.sipphone.com)
    stun.ideasip.com (no XOR_MAPPED_ADDRESS support)
    stun.internetcalls.com
    stun.ipns.com
    stun.noc.ams-ix.net
    stun.phonepower.com
    stun.phoneserve.com
    stun.rnktel.com
    stun.softjoys.com (no DNS SRV record) (no XOR_MAPPED_ADDRESS support)
    stunserver.org see their usage policy
    stun.sipgate.net
    stun.sipgate.net:10000
    stun.voip.aebc.com
    stun.voipbuster.com (no DNS SRV record) (no XOR_MAPPED_ADDRESS support)
    stun.voxalot.com
    stun.voxgratia.org (no DNS SRV record) (no XOR_MAPPED_ADDRESS support)
    stun.xten.com
    numb.viagenie.ca (http://numb.viagenie.ca) (XOR_MAPPED_ADDRESS only with rfc3489bis magic number in transaction ID)
    stun.ipshka.com inside UA-IX zone russsian explanation at http://www.ipshka.com/main/help/hlp_stun.php

Seguidamente nos dirigimos a la pestaña Line 1. y configuramos tal y como esta en la siguiente imagen:







 Finalmente en la pestaña User 1, sera donde indiquemos los numeros o direcciones a las cuales vamos a llamar. En el apartado Speed Dial Settings, precisamente es donde debemos de escribir la direccion usando la siguiente sintaxis.

 USER@IP_DESTINO_o_HOST:PUERTO

 Speed Dial 2 significa que llamare a la direccion 102@casa.no-ip.com pulsando el boton 2#
Speed Dial 3 significa que llamare a la direccion 103@trabajo.no-ip.com pulsando el boton 3#





3.1.2 LINKSYS SPA-841

3.1.3 SOFTPHONE EYEBEAM 1.5.7

3.1.4 SMARTPHONE ANDROID 4.X

3.2 APERTURA DE PUERTOS:

Aqui se debe de ingresar al router principal, generalmente 192.168.1.1, y abrir el puerto TCP y UDP 5060 apuntando a nuestra direccion IP Estatica del Equipo de llamada (ej. 192.168.1.99)

 Continuara...

Suscribete!

Suscribete para ser notificado sobre actualizaciones o nuevos posts.

Copyright 2015 Mis Experimentos con REDES y CISCO | Designed by Veethemes.com