¿Cómo configurar una VPN de sitio a sitio entre un dispositivo QuWAN y un dispositivo Fortinet®?

Establezca la siguiente configuración en su dispositivo FortiGate® para establecer un túnel VPN de sitio a sitio IPsec mediante su router conectado a QuWAN. Defina el método de autenticación, los algoritmos de cifrado y la configuración clave de intercambio para garantizar una conexión segura. Habilite funciones como la NAT Traversal y la detección de homólogos inactivos (DPD) para mantener la estabilidad del túnel y la compatibilidad con el marco VPN de QuWAN. La configuración siguiente se basa en la Ayuda en línea de FortiProxy 1.1.0 para un dispositivo FortiGate® 300C.

1. Inicie sesión en la interfaz de usuario de FortiGate®.
2. Vaya a VPN > IPSec > Tunnels (Túneles).
3. Haga clic en Create new (Crear nuevo).
4. Establezca la configuración VPN IPSec.
   

   Configuración general

   Configuración	Acción del usuario
   Name (Nombre)	Introduzca un nombre único para el túnel VPN.
   Comments (Comentarios) (opcional)	Añada una descripción para el túnel.
   Enable IPsec Interface Mode (Habilitar el modo de interfaz IPsec)	Seleccione para habilitar IPsec para el túnel VPN.

   Configuración de red

   Configuración	Acción del usuario
   IP Version (Versión de IP)	Seleccione IPv4 como versión del protocolo.
   Remote Gateway (Puerta de enlace remota)	Elija Static IP Address (Dirección IP fija) si el par remoto tiene una IP fija.
   IP Address (Dirección IP)	Introduzca la dirección IP del par remoto.
   Interface (Interfaz)	Seleccione la interfaz de red para el túnel VPN.
   Mode Config (Config. de modo) (opcional)	Habilítela para asignar direcciones IP a clientes VPN.
   NAT Traversal	Habilite NAT Traversal si hay un dispositivo NAT entre los homólogos.
   Keepalive Frequency (Frecuencia de conexión persistente)	Establezca con qué frecuencia se envían paquetes para mantener la conexión.
   Dead Peer Detection (Detección de homólogos inactivos)	Habilite la detección de homólogos sin actividad para detectar los homólogos VPN que no responden.

   

   Configuración de autenticación

   Configuración	Acción del usuario
   Method (Método)	Seleccione Pre-shared Key (Clave precompartida) para la autenticación.
   Pre-shared Key (Clave precompartida)	Copie la clave precompartida de la ventana de configuración de la conexión VPN basada en ruta del QuWAN Orchestrator y péguela en el campo de la clave precompartida.
   IKE Version (Versión de IKE)	Seleccione 2 como versión de IKE.
   Mode (Modo)	Seleccione Main (ID Protection) (Principal (Protección de ID)) para una administración segura de la identidad.

   

   Configuración de propuesta de fase 1

   Nota

   Asegúrese de que ambos dispositivos tengan la misma configuración de cifrado y de autenticación.

   Configuración	Acción del usuario
   Encryption (Cifrado)	Seleccione el algoritmo de cifrado AES256.
   Authentication (Autenticación)	Seleccione la autenticación SHA256.
   Diffie-Hellman Groups (Grupos Diffie-Hellman)	Seleccione grupos de intercambio de claves como 2, 5, 14, 15, 16, 19, 20 o 21.
   Key Lifetime (seconds) (Duración de la clave (segundos))	Defina durante cuánto tiempo se mantiene la validez de la clave de cifrado (predeterminado: 86 400 segundos).
   Local ID (ID local)	Introduzca una ID local si es necesario. Si va a utilizar un servicio de DNS dinámica (DDNS) para una conexión VPN IPsec basada en ruta, debe definir la ID local en formato FQDN.

   

   Configuración XAUTH

   Configuración	Acción del usuario
   Type (Tipo)	Seleccione Disabled (Inhabilitada) a menos que se necesite la autenticación ampliada.

   Selectores de fase 2

   Configuración	Acción del usuario
   Local Address (Dirección local)	Defina la red local (predeterminada: 0.0.0.0/0)
   Remote Address (Dirección remota)	Defina la red remota (predeterminada: 0.0.0.0/0)

   

   Configuración de fase 2

   Configuración	Acción del usuario
   Name (Nombre)	Conserve el mismo nombre que en la Fase 1 o modifíquelo si es necesario.
   Comments (Comentarios) (opcional)	Añada una descripción.
   Local Address (Dirección local)	Seleccione Subnet (Subred) y configure el rango de red local.
   Remote Address (Dirección remota)	Seleccione Subnet (Subred) y configure el rango de red remota.

5. Haga clic en OK (Aceptar).

El dispositivo FortiGate® crea el túnel VPN de IPSec.

Para conectar un router conectado a QuWAN y un dispositivo FortiGate®, debe configurar una VPN basada en ruta. Este método establece un túnel cifrado que dirige el tráfico entre las dos redes basándose en directivas de rutas. Al contrario que las VPN basadas en directivas, las VPN basadas en rutas admiten las rutas fijas y múltiples subredes, lo cual garantiza un control preciso del tráfico y un intercambio eficiente de los datos entre los sitios conectados.

Antes de configurar una conexión VPN basada en ruta en QuWAN Orchestrator, asegúrese de que la conexión del dispositivo homólogo es correcta. Se refiere al dispositivo del otro extremo del túnel VPN, como por ejemplo otro router o firewall.

1. Inicie sesión en QuWAN Orchestrator.
2. Vaya a Topología de QuWAN > VPN basada en ruta.
3. Haga clic en Crear conexión nueva.
   Aparece la ventana Crear conexión nueva .
4. Especifique un nombre de conexión que tenga entre 1 y 64 caracteres.
5. Seleccione Modo túnel como modo de IPsec.
6. Seleccione un nodo para dirigir el tráfico y la gestión central.
7. Seleccione el puerto de la interfaz WAN.
8. Especifique la dirección IP pública o el nombre de dispositivo de la puerta de enlace remota.
9. Haga clic en Probar conexión para verificar la conexión de la puerta de enlace remota.
10. Especifique una clave precompartida.
    Nota

    Asegúrese de que la clave precompartida del dispositivo remoto es idéntica a la que se ha configurado en QuWAN Orchestrator.
11. Opcional: Haga clic en Configuración avanzada para descubrir opciones de configuración adicionales para las conexiones VPN basada en ruta.
12. Establezca la configuración del Intercambio de claves de internet (IKE):
    1. Seleccione la versión de IKE.
    2. Seleccione el algoritmo de autenticación.
    3. Seleccione un método de cifrado adecuado.
    4. Seleccione un grupo Diffie-Hellman (DH).
       Nota

       Los grupos DH definen la robustez criptográfica para establecer una clave privada de forma segura durante la comunicación inicial.
    5. Defina la duración de IKE/Asociación de Seguridad (SA) para reducir los riesgos criptográficos relacionados con la exposición de la clave.
    6. Opcional: Especifique la ID local (nombre de dominio) para la autenticación del sitio remoto.
    7. Proporcione la ID local únicamente si el DDNS está configurado para la conexión VPN basada en ruta.
13. Establezca la configuración de la Carga de seguridad encapsulada (EPS):
    1. Seleccione el algoritmo de autenticación.
    2. Seleccione un método de cifrado adecuado.
    3. Seleccione Habilitar Secreto perfecto hacia delante (PFS) para generar una nueva clave DH.
    4. Seleccione un grupo DH.
    5. Defina la duración de la SA de ESP.
    6. Opcional: Seleccione Habilitar Detección de homólogos inactivos (DPD) para identificar y responder a los cortes de dispositivos homólogos.
    7. Especifique el valor de tiempo de espera de DPD en segundos.
14. Opcional: Seleccione Habilitar modo NAT para asegurar que la conexión VPN funcione correctamente incluso cuando haya dispositivos NAT presentes en la red.
    1. Especifique la dirección IP de túnel local para facilitar la NAT Traversal.
15. Opcional: Establezca la configuración de la subred del sitio:
    1. En Subredes del sitio, haga clic en Añadir subred.
    2. Especifique una subred del sitio.
    3. Especifique una descripción.
    4. Haga clic en .
16. Haga clic en Crear.
    QuWAN Orchestrator crea la conexión VPN basada en ruta.
17. Identifique la conexión VPN basada en ruta de FortiGate® en la página Topología de QuWAN/VPN basada en ruta.
18. Haga clic en  para habilitar la conexión VPN basada en ruta.

QuWAN Orchestrator establece la conexión VPN de sitio a sitio entre el router QNAP y el dispositivo Fortinet® FortiGate®.