IBM Cloud Docs
Conexión a un igual de FortiGate

Conexión a un igual de FortiGate

Puede utilizar IBM Cloud VPN for VPC para conectar de forma segura el VPC a una red local a través de un túnel VPN. En este tema encontrará una orientación sobre cómo configurar la pasarela VPN de FortiGate para conectarse con VPN for VPC.

Estas instrucciones se basan en FortiGate 300C, versión de firmware v5.2.13, build762 (disponibilidad general).

Lea las limitaciones de la pasarela VPN antes de seguir conectándose al igual local.

Conexión de una VPN basada en políticas de IBM a un igual de FortiGate

Seleccione VPN > Túneles IPsec y cree un nuevo túnel personalizado o edite un túnel existente.

Cuando una VPN de FortiGate recibe una solicitud de conexión de VPN for VPC, FortiGate utiliza los parámetros de fase 1 de IPsec para establecer una conexión segura y autenticarse en VPN for VPC. A continuación, si la política de seguridad permite la conexión, la VPN de FortiGate establece el túnel utilizando los parámetros de fase 2 de IPsec y aplica la política de seguridad de IPsec. Los servicios de seguridad, autenticación y gestión de claves se negocian dinámicamente mediante el protocolo IKE.

Para ofrecer soporte a estas funciones, se deben seguir los siguientes pasos de configuración general en la VPN de FortiGate:

  • Defina los parámetros de fase 1 que la VPN de FortiGate necesita para autenticar VPN for VPC y establecer una conexión segura.
  • Defina los parámetros de fase 2 que la VPN de FortiGate necesita para crear un túnel VPN con VPN for VPC.
  • Cree políticas de seguridad para controlar los servicios permitidos y la dirección de tráfico permitida entre las direcciones IP de origen y de destino.

A continuación, se muestra una configuración de ejemplo:

  1. Elija IKEv2 en la autenticación.
  2. Habilitar DH-group 19 en la propuesta de la Fase 1.
  3. Establezca lifetime = 36000 en la propuesta de fase 1.
  4. Inhabilite PFS en la propuesta de fase 2.
  5. Establezca lifetime = 10800 en la propuesta de fase 2.
  6. Especifique la información de la subred en la fase 2.
  7. Los parámetros restantes conservan los valores predeterminados.

Conexión de una VPN estática basada en ruta de IBM a un igual de FortiGate

A continuación, se muestra un ejemplo de cómo conectar una VPN estática basada en ruta de IBM a un igual de FortiGate.

  1. Para configurar un túnel primario, seleccione VPN > Túneles IPsec y cree un nuevo túnel de tipo de plantilla personalizado o edite un túnel existente.

    Creación de túnel primario de conexiónFortiGate
    Figura 1: FortiGate de FortiGate

  2. Para configurar una IP de igual de un túnel primario, utilice la dirección IP pública pequeña de la pasarela VPN basada en ruta de IBM como dirección IP de pasarela remota.

    Para obtener más información sobre la IP pública pequeña, consulte este aviso importante.

    IP de igual de conexión deFortiGate del túnel primario
    Figura 2: FortiGate connection eer IP del túnel primario

  3. Para configurar una propuesta IKE, utilice la versión IKE y las propuestas coincidentes.

    Propuesta de IKE de conexión deFortiGate
    Figura 3: FortiGate

  4. Para configurar una propuesta IPsec, utilice las propuestas IPsec coincidentes.

    Propuesta de IPsec de conexión deFortiGate
    Figura 4: FortiGate

Cuando se conecta FortiGate a un par VPN de terceros, la autenticación de Fase 1 podría fallar si el ID local se envía en el formato incorrecto. Por defecto, FortiGate envía su ID local como un nombre de dominio completo (FQDN), incluso si se ha configurado una dirección IP. Sin embargo, algunas pasarelas VPN de terceros esperan el ID local en formato de dirección IP. Un desajuste en los tipos de identidad puede hacer que el túnel VPN falle con el error: AUTHENTICATION_FAILED. En el lado del par, los registros pueden mostrar este error: Failed to locate an item in the database – Peer identity type is FQDN.

Para resolver este error, utilice la CLI FortiGate y configure localid-type a address y localid a la IP pública FortiGate.

config vpn ipsec phase1-interface
    edit <tunnel_name>
        set localid-type address
        set localid <your FortiGate public IP>
    next
end

Configuración de un túnel secundario

Para configurar un túnel secundario, siga estos pasos:

  1. Repita los pasos anteriores para crear el túnel secundario. Utilice la dirección IP pública grande de la pasarela VPN basada en ruta de IBM como la dirección IP de pasarela remota.

    Creación de túnel secundario de conexiónFortiGate
    Figura 5: FortiGate de FortiGate

  2. Cree la ruta primaria donde el destino sea la subred VPC y la interfaz sea el túnel primario.

    Ruta primaria de conexiónFortiGate
    Figura 6: Ruta primaria de conexión FortiGate

  3. Para configurar una ruta secundaria, cree la ruta de copia de seguridad, donde el destino es la subred VPC, la interfaz es el túnel secundario y la distancia administrativa es mayor que la de la ruta primaria.

    Ruta secundaria de conexiónFortiGate
    Figura 7: Ruta secundaria de conexión FortiGate

  4. Para verificar las configuraciones, liste todas las rutas y verifique las configuraciones de ruta. A continuación, compruebe que la distancia de ruta y la ruta primaria se hayan configurado correctamente en las rutas primaria y secundaria.

    FortiGate
    Figura 8: FortiGate