Configuración del acceso seguro con Fortigate Firewall

Introducción

Este documento describe cómo configurar Secure Access con Fortigate Firewall.

Prerequisites

• Configurar aprovisionamiento de usuarios
• Configuración de Autenticación SSO de ZTNA
• Configurar acceso seguro VPN de acceso remoto

Requirements

Cisco recomienda tener conocimientos de estos temas:

• Firewall de la versión Fortigate 7.4.x
• Acceso seguro
• Cisco Secure Client - VPN
• Cisco Secure Client: ZTNA
• ZTNA sin cliente

Componentes Utilizados

La información de este documento se basa en: 

• Firewall de la versión Fortigate 7.4.x
• Acceso seguro
• Cisco Secure Client - VPN
• Cisco Secure Client: ZTNA

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si tiene una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Antecedentes

Cisco ha diseñado Secure Access para proteger y proporcionar acceso a aplicaciones privadas, tanto in situ como basadas en la nube. También protege la conexión de la red a Internet. Esto se consigue mediante la implementación de varios métodos y capas de seguridad, todo ello con el objetivo de preservar la información a medida que se accede a ella a través de la nube.

Configurar

Configuración de la VPN en Secure Access

1. Acceda al panel de administración de Secure Access.

2. Haga clic en Connect > Network Connections > Network Tunnels Groups.

3. En Network Tunnel Groups, haga clic en +Add.

4. Configure el Nombre del Grupo de Túnel, la Región y el Tipo de Dispositivo.

5. Haga clic en Siguiente.

8. Configure los rangos de direcciones IP o los hosts que configuró en la red y desee transmitir el tráfico a través de Secure Access.

9. Haga clic en Guardar.

10. Una vez que haya guardado, se mostrará la información del túnel. Guarde esta información para el siguiente paso; Configure el VPN Sitio a Sitio en Fortigate.

Datos del túnel

Configuración del sitio VPN a sitio en Fortigate

1. Acceda al panel de Fortigate.

2. Haga clic VPN > IPsec Tunnels.

3. Haga clic Create New > IPsec Tunnels.

4. Haga clic en Personalizado, configure un Nombre, y haga clic en Siguiente.

En la siguiente imagen, puede ver cómo configurar los parámetros para el Network.

Red

Red

• Versión IP: IPv4
• Gateway remoto: Dirección IP estática
• IP Address: Utilice la dirección IP de la dirección IP del Data Center principal, proporcionada en Tunnel Data
• Interfaz: Elija la interfaz WAN que desea utilizar para establecer el túnel
• Gateway local: Desactivar como valor predeterminado
• Configuración de modo: Desactivar como valor predeterminado
• NAT transversal: Habilitar
• Frecuencia de Keepalive 10
• Detección de puntos inactivos: En inactividad
• Recuento de reintentos de DPD: 3
• Intervalo de reintento de DPD: 10
• Corrección de errores de reenvío: No marque ninguna casilla
• Avanzado...: Consulte la Fase 2 para conocer los pasos de configuración

Ahora, configure el IKE Authentication.

Autenticación

• Autenticación 
  • Método: Clave precompartida predeterminada
  • Clave precompartida:utilice la frase de paso proporcionada en el paso Tunnel Data 
• IKE 
  • Versión: Seleccione la versión 2

A continuación, configure el Phase 1 Proposal.

Fase 1 Propuesta

• Fase 1 Propuesta 
  • Cifrado: Elija AES256
  • Autenticación: Elija SHA256
  • Grupos Diffie-Hellman: Solo elija 20, puede tener problemas más adelante si elige múltiplos
  • Duración de la clave (segundos): 86400 como valor predeterminado
  • ID local: Utilice el ID del túnel principal, dado en el paso Tunnel Data 

Ahora configure la Propuesta de Fase 2.

Fase 2 Propuesta

• Nueva fase 2
  • Nombre: Dejar como valor predeterminado (este valor coincide con el nombre de la conexión VPN)
  • Dirección local: Dejar como valor predeterminado (0,0.0.0/0.0.0.0)
  • Dirección remota: dejar como predeterminado (0.0.0.0/0.0.0.0)
• Avanzado 
  • Cifrado: Elija AES128
  • Autenticación: Elija SHA256
  • Activar detección de reproducción: Dejar como predeterminado (habilitado)
  • Habilitar confidencialidad directa perfecta (PFS) Anule la selección de la casilla
  • Puerto local: dejar como predeterminado (habilitado)
  • Puerto remoto: Dejar como predeterminado (habilitado)
  • Protocolo: dejar como predeterminado (habilitado)
  • Negociar automáticamente: dejar como predeterminado (sin marcar)
  • Mantener activo con la tecla automática: dejar como predeterminado (sin marcar)
  • Duración de la clave: Dejar como predeterminado (segundos)
  • Segundos: Dejar como predeterminado (43200)

Después, haga clic en OK. Verá que la VPN se estableció con Secure Access y puede continuar con el siguiente paso; Configure la interfaz de túnel.

Configuración de la interfaz de túnel

Una vez creado el túnel, se muestra una nueva interfaz detrás del puerto que está utilizando como interfaz WAN para comunicarse con Secure Access. 

1. Para comprobarlo, vaya a Network > Interfaces.

2. Expanda el puerto que utiliza para comunicarse con Secure Access; en este caso, la WAN interfaz.

3. Haga clic en la interfaz de túnel y haga clic en Editar.

4. Consulte la imagen para configurar los parámetros.

Configuración de la Interfaz 

• IP: Configure una IP no enrutable que no esté en su red (por ejemplo, 169.254.0.1).
• Máscara de red/IP remota: Configure la IP remota como la siguiente IP para su IP de interfaz y con una máscara de red de 30 (por ejemplo, 169.254.0.2 255.255.255.252).

5. Haga clic OK para guardar los parámetros de configuración y continúe con el siguiente paso: Configurar ruta de política (enrutamiento basado en el origen).

Configurar ruta de política

En este punto, tiene su VPN configurada y establecida para Secure Access. Ahora, debe redirigir el tráfico a Secure Access para proteger el tráfico o el acceso a las aplicaciones privadas detrás del firewall de FortiGate.

1. Acceda a Network > Policy Routes.

2. Configure la directiva.

• Si el tráfico entrante coincide:
  • Interfaz entrante: Elija la interfaz en la que planea redirigir el tráfico a Secure Access (origen del tráfico).
• Dirección de la fuente
  • IP/máscara de red: Utilice esta opción si sólo enruta una subred de una interfaz.
  • Direcciones: Utilice esta opción si tiene un objeto creado y el origen del tráfico proviene de varias interfaces y varias subredes.
• Direcciones de destino
  • Direcciones: Elija all si desea proteger el tráfico de Internet. Si desea acceso privado, debe agregar su grupo de IP de perfil VPN y el rango CGNAT 100.64.0.0/10.
  • Protocolo: Elija ANY.
• Luego 
  • Acción: Seleccione Tráfico de Reenvío
• Interfaz saliente: Elija la interfaz de túnel que modificó en el paso Configure Tunnel Interface.
• Dirección de gateway: Configure la IP remota configurada en el paso RemoteIPNetmask.
• Estado: Seleccione Activado.

3. Haga clic OK para guardar los parámetros de configuración. Verifique si el tráfico a sus dispositivos fue re-enrutado a Secure Access. 

Verificación

Para comprobar si el tráfico se ha desviado de a Secure Access, tiene dos opciones: puede verificar en internet y verificar su IP pública, o puede ejecutar el comando con curl:

C:\Windows\system32>curl ipinfo.io
{
  "ip": "151.186.197.1",
  "city": "Frankfurt am Main",
  "region": "Hesse",
  "country": "DE",
  "loc": "50.1112,8.6831",
  "org": "AS16509 Amazon.com, Inc.",
  "postal": "60311",
  "timezone": "Europe/Berlin",
  "readme": "https://ipinfo.io/missingauth"
}

El rango público donde puede ver su tráfico es:

• Host mín: 151.186.176.1 
• Host máximo: 151.186.207.254

Si ve un cambio en su IP pública, significa que está protegido por Secure Access. Puede configurar su aplicación privada en el panel de acceso seguro para acceder a sus aplicaciones desde VPNaaS o ZTNA.

Historial de revisiones

Revisión	Fecha de publicación	Comentarios
2.0	04-Jun-2026	Actualización de ortografía, gramática, estructura de oraciones, edición de texto alternativo y numeración.
1.0	02-Aug-2024	Versión inicial