VPN SSL Modo Tunel FortiOS 5.

2
V 5.2
FortiOS

Todos los modelos

FortiGate
Modelo

Condicio V 5.2 y posteriores

n

Esta es una gua de configuracin de VPN SSL modo Tnel para firewalls en versin 5.2 y
posteriores, cabe mencionar que las configuraciones de dicha VPN cambian respecto a la
versin 5.0

Para esta configuraciones podemos utilizar algunos parmetros por defecto que ya trae el
OS o como alternativa crear nuestros propios parmetros como son el IP Pool que es el
rango de direccin que se entregara a los clientes de VPN y adems el grupo de usuarios y
portal para dicho tnel.

Para efectos de esta gua crearemos un nuevo IP Pool y un nuevo grupo para utilizar en las
configuraciones.

Crearemos un grupo para utilizar en la VPN SSL en donde agregaremos a los usuarios que
tendrn acceso a dicho tnel utilizando el cliente de VPN FortiClient

User & Device > User Group > Create New

Luego crearemos el IP Pool que utilizaremos para entregar a los clientes de la VPN SSL
Crearemos un objeto de direccin para nuestra red local, que es donde generalmente se
encuentran los aplicativos a los cuales necesitamos dar acceso a los usuarios remotos

Despus de definir los parmetros anteriores, crearemos un portal para la VPN SSL, cabe
mencionar que ya hay portales predefinidos por defecto que tambin podemos utilizar.

VPN > SSL Portal > Create New

En la configuracin de este portal colocamos el objeto de direccin de nuestra red local ya
que de esta manera se agregara dicha ruta a los clientes de VPN. En la parte de Source IP
Pool agregamos el IP Pool que configuramos anteriormente, ya que este rango de direccin
es el que se les dar por DHCP a los clientes de VPN.
Habilitamos el Split Tuneling para que los clientes de VPN naveguen hacia internet por su
propio enlace, si dicha opcin no es habilitada estos navegaran a travs del tnel que se
establezca entre el cliente de VPN y el Firewall y ser necesario hacer las polticas
correspondientes para brindar acceso a dichos clientes para que naveguen a travs del
firewall.

Despus de configurar el portal, nos vamos a los settings para la VPN seleccionamos VPN
> SSL > Settings, aqu seleccionaremos la WAN 1 como interfaz de escucha para las
conexiones de los clientes VPN.

Sera necesario cambiar el puerto de escucha al 10443 para evitar problemas de acceso ya
que el puerto 443 es el puerto de administracin del firewall.
Para los settings de los clientes de VPN podemos asignar el IP Pool que creamos o
seleccionar la opcin para que se les asigne automticamente el IP Pool que viene
configurado por defecto.
Para la parte de autenticacin o portal Mapping seleccionamos el grupo y portal que
creamos
Despus de crear los parmetros de configuracin para la VPN necesitamos crear una ruta
esttica para la red que estamos utilizando en el IP Pool y seleccionar como interfaz al
ssl.root
Posteriormente creamos la poltica necesaria que va de la interfaz ss.root hacia nuestra red
local, aqu especificamos tanto el IP Pool creado como el grupo y seleccionamos como
destino a nuestra red local.

Para finalizar necesitamos validar la conexin utilizando el software forticlient y con esto
validamos que el tnel se establezca.