FortiGate
En este tema, se proporciona la configuración para un FortiGate que ejecuta la versión de software 6.0.4.
Se recomienda experiencia en FortiGate. Para obtener más detalles sobre cómo utilizar los productos de FortiGate, visite su sitio oficial. Para conocer la documentación de FortiGate para un despliegue manual o de alta disponibilidad, consulte la biblioteca de documentos de Fortinet.
Oracle proporciona instrucciones de configuración para un conjunto probado de proveedores y dispositivos. Utilice la configuración correcta para su proveedor y versión de software.
Si el dispositivo o la versión de software que Oracle utiliza para verificar que la configuración no coincide exactamente con el dispositivo o el software, es posible que pueda crear la configuración necesaria en el dispositivo. Consulte la documentación del proveedor y realice los ajustes necesarios.
Si el dispositivo es para un proveedor que no está en la lista de proveedores y dispositivos verificados o si ya está familiarizado con la configuración del dispositivo para IPSec, consulte la lista de parámetros admitidos de IPSec y consulte la documentación del proveedor para obtener ayuda.
VPN de offersSite a sitio de Oracle Cloud Infrastructure, una conexión IPSec segura entre la red local y una red virtual en la nube (VCN).
El siguiente diagrama muestra una conexión básica de IPSec con Oracle Cloud Infrastructure con túneles redundantes. Las direcciones IP utilizadas en este diagrama solo tienen como finalidad mostrase como ejemplos.
Mejores prácticas
En esta sección se tratan las mejores prácticas y consideraciones generales para utilizar la VPN de sitio a sitio.
Configuración de todos los túneles para cada conexión de IPSec
Oracle despliega dos extremos de IPSec para cada una de las conexiones para proporcionar una alta disponibilidad para las cargas de trabajo críticas. En el lado de Oracle, estos dos extremos están en enrutadores diferentes para fines de redundancia. Oracle recomienda configurar todos los túneles disponibles para obtener la máxima redundancia. Esta es una parte clave de la filosofía "Diseño para fallo".
Disponibilidad de CPE redundantes en las ubicaciones de redes locales
Cada una de las direcciones que se conectan con IPSec a Oracle Cloud Infrastructure debe tener dispositivos de perímetro redundantes (también conocidos como "equipos locales de cliente" [CPE]). Agregue cada CPE a la consola de Oracle y cree una conexión de IPSec independiente entre el gateway de direccionamiento dinámico (DRG) y cada CPE. Para cada conexión de IPSec, Oracle aprovisiona dos túneles en las cabeceras de IPSec geográficamente redundantes. Para obtener más información, consulte la Guía de redundancia de conectividad (PDF).
Consideraciones del protocolo de enrutamiento
Al crear una conexión IPSec de VPN de sitio a sitio, esta tiene dos túneles de IPSec redundantes. Oracle le recomienda configurar su CPE para que utilice ambos túneles (si su CPE lo admite). En el pasado Oracle creaba conexiones IPSec con hasta cuatro túneles de IPSec.
Los tres tipos siguientes de enrutamiento están disponibles y puede seleccionar el tipo de enrutamiento por separado para cada túnel de la VPN de sitio a sitio:
- Enrutamiento dinámico de BGP: las rutas disponibles se aprenden de forma dinámica mediante BGP. DRG aprende de forma dinámica las rutas de su red local. En el lado de Oracle, DRG anuncia las subredes de la VCN.
- Enrutamiento estático: al configurar la conexión de IPSec con DRG, debe especificar las rutas específicas a la red local de la que desea que se conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
- Enrutamiento basado en política: al configurar la conexión IPSec al DRG, debe especificar las rutas específicas a la red local que desea que conozca la VCN. También debe configurar su dispositivo CPE con rutas estáticas a las subredes de la VCN. Estas rutas no se aprenden dinámicamente.
Para obtener más información sobre el enrutamiento con la VPN de sitio a sitio, incluidas las recomendaciones de Oracle sobre cómo manipular el algoritmo de selección de la mejor ruta de acceso de BGP, consulte Enrutamiento de la VPN de sitio a sitio.
Otras configuraciones importantes de CPE
Asegúrese de que las listas de acceso de su CPE estén configuradas correctamente para no bloquear el tráfico necesario desde o hasta Oracle Cloud Infrastructure.
Si tiene varios túneles activos simultáneamente, puede que experimente un enrutamiento asimétrico. Para permitir el enrutamiento asimétrico, asegúrese de que su CPE esté configurado para gestionar el tráfico que procede de su VCN en cualquiera de los túneles. Por ejemplo, debe desactivar la inspección ICMP y configurar la omisión del estado TCP. Para obtener más información sobre la configuración adecuada, póngase en contacto con el soporte del proveedor de CPE. Para configurar el enrutamiento para que sea simétrico, consulte Enrutamiento de la VPN de sitio a sitio.
Advertencias y limitaciones
En esta sección se tratan las características y las limitaciones importantes generales de la VPN de sitio a sitio que deben tenerse en cuenta. Consulte la sección Límites de servicio para obtener una lista de límites aplicables e instrucciones para solicitar un aumento del límite.
Enrutamiento asimétrico
Oracle utiliza el enrutamiento asimétrico en varios túneles que forman la conexión de IPSec. Configure los firewalls según corresponda. De lo contrario, las pruebas de ping o el tráfico de aplicaciones a través de la conexión no funcionan de forma fiable.
Cuando utilice varios túneles a Oracle Cloud Infrastructure, Oracle recomienda configurar el enrutamiento para direccionar de forma determinista el tráfico a través del túnel preferido. Si desea utilizar un túnel de IPSec como principal y otro como de copia de seguridad, configure más rutas específicas para el túnel principal (BGP) y rutas menos específicas (resumen o ruta predeterminada) para el túnel de copia de seguridad (BGP/estático). De lo contrario, si da a conocer la misma ruta (por ejemplo, una ruta por defecto) a través de todos los túneles, devolverá el tráfico de su VCN a sus rutas de red locales a cualquiera de los túneles disponibles. Esto se debe a que Oracle utiliza el enrutamiento asimétrico.
Para obtener recomendaciones específicas de enrutamiento de Oracle sobre cómo forzar un enrutamiento simétrico, consulte Enrutamiento de la VPN de sitio a sitio.
VPN de sitio a sitio basada en rutas o en políticas
El protocolo IPSec utiliza asociaciones de seguridad (SA) para determinar cómo cifrar paquetes. Dentro de cada SA, se definen dominios de cifrado para asignar el tipo de protocolo y la dirección IP de origen y destino de un paquete a una entrada de la base de datos de SA para definir cómo cifrar o descifrar un paquete.
Otros proveedores o documentación del sector pueden utilizar el término ID de servidor proxy, índice de parámetros de seguridad (SPI) o selector de tráfico al hacer referencia a dominios de cifrado o SA.
Existen dos métodos generales para implantar túneles de IPSec:
- Túneles basados en rutas: también denominados túneles basados en el próximo salto. Se realiza una consulta de tabla de rutas en la dirección IP de destino de un paquete. Si la interfaz de salida de esa ruta es un túnel de IPSec, el paquete se cifra y se envía al otro extremo del túnel.
- Túneles basados en políticas: la dirección IP de origen y de destino del paquete coincide con una lista de sentencias de política. Si se encuentra una coincidencia, el paquete se cifra según las reglas de esa sentencia de política.
Los extremos de la VPN de sitio a sitio de Oracle utilizan túneles basados en rutas, pero pueden trabajar con túneles basados en políticas con algunas advertencias que se enumeran en las siguientes secciones.
Si su CPE admite túneles basados en rutas, utilice ese método para configurar el túnel. Es la configuración más simple con la mayor interoperabilidad con el encabezado de VPN de Oracle.
IPSec basado en rutas utiliza un dominio de cifrado con los siguientes valores:
- Dirección IP de origen: cualquiera (0.0.0.0/0)
- Dirección IP de destino: cualquiera (0.0.0.0/0)
- Protocolo: IPv4
Si necesita ser más específico, puede utilizar una única ruta de resumen para los valores de dominio de cifrado en lugar de una ruta predeterminada.
Al utilizar túneles basados en políticas, cada entrada de política (un bloque de CIDR en un lado de la conexión IPSec) que defina genera una asociación de seguridad (SA) IPSec con cada entrada elegible en el otro extremo del túnel. Este par se conoce como dominio de cifrado.
En este diagrama, el extremo de Oracle DRG del túnel IPSec tiene entradas de política para tres bloques de CIDR IPv4 y un bloque de CIDR IPv6. El extremo de CPE local del túnel tiene entradas de política con dos bloques de CIDR IPv4 y dos bloques de CIDR IPv6. Cada entrada genera un dominio de cifrado con todas las entradas posibles en el otro extremo del túnel. Ambos lados de un par de SA deben usar la misma versión de IP. El resultado es un total de ocho dominios de cifrado.
Si el CPE solo soporta túneles basados en políticas, tenga en cuenta las siguientes restricciones.
- La VPN de sitio a sitio soporta varios dominios de cifrado, pero tiene un límite superior de 50 dominios de cifrado.
- Si tuvo una situación similar al ejemplo anterior y solo configuró tres de los seis posibles dominios de cifrado IPv4 en el lado del CPE, el enlace se mostraría en el estado "Activo parcial", porque todos los posibles dominios de cifrado siempre se crean en el lado del DRG.
- En función de cuándo se haya creado un túnel, es posible que no pueda editar un túnel existente para utilizar el enrutamiento basado en políticas y que necesite sustituir el túnel por un nuevo túnel IPSec.
- Los bloques de CIDR que se utilizan en el extremo de Oracle DRG del túnel no pueden solapar los bloques de CIDR que se utilizan en el extremo del CPE local del túnel.
- Debe haber siempre un dominio de cifrado entre dos bloques de CIDR de la misma versión IP.
Si su CPE está detrás de un dispositivo NAT
En general, el identificador IKE de CPE configurado al final de la conexión debe coincidir con el identificador IKE de CPE que utiliza Oracle. De forma predeterminada, Oracle utiliza la dirección IP pública de CPE, que se proporciona al crear el objeto CPE en la consola de Oracle. Sin embargo, si su CPE está detrás de un dispositivo NAT, el identificador IKE de CPE configurado en su extremo puede ser la dirección IP privada del CPE, como se muestra en el diagrama siguiente.
Algunas plataformas de CPE no permiten cambiar el identificador de IKE local. Si no puede, debe cambiar el ID de IKE remoto en la consola de Oracle para que coincida con el ID de IKE local de su CPE. Puede proporcionar el valor al configurar la conexión de IPSec o más tarde, editando la conexión de IPSec. Oracle espera que el valor sea una dirección IP o un nombre de dominio completo (FQDN), como cpe.example.com. Para obtener instrucciones, consulte Cambio del identificador IKE de CPE que Oracle utiliza.
Parámetros de IPSec admitidos
Para obtener una lista neutra de proveedores de los parámetros de IPSec admitidos para todas las regiones, consulte Parámetros de IPSec admitidos.
El ASN de BGP de Oracle para el dominio de nube comercial es 31898. Si configura la VPN de sitio a sitio para la nube del Gobierno de EE. UU., consulte Parámetros de VPN de sitio a sitio necesarios para Government Cloud y también ASN de BGP de Oracle. Para ver la nube del Gobierno de Reino Unido, consulte Regiones.
Configuración de CPE
Oracle Cloud Infrastructure proporciona las instrucciones de configuración de esta sección para su CPE. Si necesita asistencia técnica o adicional, póngase en contacto con el soporte del proveedor de CPE directamente.
En la siguiente figura se muestra el diseño básico de la conexión de IPSec.
De forma predeterminada, FortiGate aprovisiona el túnel de IPSec en el modo basado en rutas. Este tema se centra en FortiGate con una configuración de VPN basada en rutas.
Si es necesario, puede hacer que FortiGate aprovisione el túnel de IPSec en el modo basado en políticas. Para activar la función, vaya a Sistema y, a continuación, a Visibilidad de función. En Funciones adicionales, active la función VPN de IPSec basada en políticas.
Acerca del uso de IKEv2
Oracle admite la versión 1 (IKEv1) y la versión 2 (IKEv2) de Internet Key Exchange. Si configura la conexión IPSec en la consola para utilizar IKEv2, debe configurar el CPE para que utilice solo IKEv2 y los parámetros de cifrado de IKEv2 relacionados que admite el CPE. Para obtener una lista de los parámetros admitidos por Oracle para IKEv1 o IKEv2, consulte Parámetros de IPSec admitidos.
Si desea utilizar IKEv2, existe una variación de una de las tareas presentadas en la siguiente sección. En concreto, en la tarea 2, al configurar la autenticación, seleccione la versión 2 de IKE.
Proceso de configuración
Antes del inicio, asegúrese de tener una licencia válida o una de prueba para configurar FortiGate.
- Vaya a VPN y, a continuación, al Asistente de IPSec para crear un nuevo túnel de VPN.
- En la página Asistente de creación de VPN, especifique los siguientes elementos:
- Nombre: descripción utilizada para identificar el túnel de IPSec. Evite introducir información confidencial.
- Tipo de plantilla: sitio a sitio
- Tipo de dispositivo remoto: Cisco
- Configuración de NAT: no hay NAT entre sitios
- Haga clic en Siguiente.
- En la página Autenticación, especifique los siguientes elementos:
- Dispositivo remoto: dirección IP
- Dirección IP: dirección IP de la cabecera de la VPN de Oracle. Oracle ha generado este valor al crear el túnel de IPSec.
- Interfaz saliente: interfaz WAN configurada para el tráfico externo.
- Método de autenticación: clave compartida previamente. Oracle solo admite claves secretas compartidas.
- Clave compartida previamente: secreto compartido. Oracle ha generado este valor al crear el túnel de IPSec.
- Haga clic en Siguiente.
- En la página Política y enrutamiento, especifique los siguientes elementos:
- Interfaz local: interfaz de LAN configurada para el tráfico interno.
- Subredes locales: subred utilizada para el tráfico interno.
- Subredes remotas: subredes de la VCN de Oracle que se utilizarán para el túnel de IPSec.
- Acceso a internet: ninguno
-
Haga clic en Crear.
Se muestra un mensaje de resumen con detalles sobre la configuración. Tenga en cuenta que el asistente crea automáticamente políticas de seguridad con las subredes especificadas y agrega las rutas estáticas necesarias.
Debe convertir cada túnel de IPSec recién creado en un túnel personalizado para agregar los parámetros recomendados para la fase 1 y la fase 2.
Lleve a cabo los pasos siguientes para cada túnel.
- Vaya a VPN y, a continuación, haga clic en Túneles de IPSec.
- Seleccione el túnel y haga clic en Editar para ver la página Editar túnel de VPN.
-
Haga clic en Convertir a túnel personalizado.
-
Edite las secciones relevantes para que coincidan con la configuración necesaria que se muestra en las siguientes capturas de pantalla. Recuerde hacer clic en el icono de la marca de selección en la esquina superior derecha de cada sección después de realizar los cambios.
La dirección IP que se muestra en la primera captura de pantalla es una dirección de ejemplo.
Tenga en cuenta que si desea utilizar IKEv2, en la pantalla Autenticación, seleccione la versión 2 de IKE.
- Después de configurar todas las secciones, haga clic en Aceptar para guardar y cerrar los cuadros de diálogo.
En este punto, el túnel de IPSec no se establecerá por defecto a porque FortiGate utiliza la dirección IP asignada en la interfaz de la WAN. En este caso, esta dirección IP es una dirección IP privada porque Oracle hace 1:1 NAT. Esta dirección IP privada se utilizará como el identificador de IKE local y no coincidirá con la que se espera en el DRG de Oracle. Para resolver esto, puede cambiar manualmente el identificador de IKE local en su FortiGate mediante la CLI de CPE, o bien puede cambiar el valor que Oracle utiliza en la consola de Oracle (consulte las instrucciones que aparecen a continuación). De cualquier modo, esto corrige la incompatibilidad y muestra el túnel de IPSec.
- Abra el menú de navegación y haga clic en Redes. En Conexión de cliente, haga clic en VPN de sitio a sitio.
Se muestra una lista de las conexiones de IPSec en el compartimiento que esté viendo. Si no encuentra el que está buscando, verifique que está visualizando el compartimento correcto (selecciónelo en la lista en la parte izquierda de la página).
-
Para la conexión IPSec que le interesa, haga clic en el
y, a continuación, en Editar.El identificador IKE de CPE actual que utiliza Oracle se muestra en la parte inferior del cuadro de diálogo.
- Introduzca los nuevos valores para Tipo de identificador IKE de CPE e Identificador IKE de CPE y, a continuación, haga clic en Guardar cambios.
Redundancia con BGP a través de IPSec
Para la redundancia, Oracle recomienda utilizar BGP en IPSec. De forma predeterminada, si tiene dos conexiones del mismo tipo (por ejemplo, dos VPN con IPSec que utilizan BGP) y anuncia las mismas rutas en ambas conexiones, Oracle prefiere la ruta más antigua establecida al responder a solicitudes o iniciar conexiones. Si desea forzar que el enrutamiento sea simétrico, Oracle recomienda utilizar la ruta de acceso BGP y AS precedida por sus rutas para influir en qué ruta de acceso utiliza Oracle al responder e iniciar conexiones. Para obtener más información, consulte Detalles de enrutamiento para conexiones a la red local.
Oracle DRG utiliza /30 o /31 como subredes para configurar direcciones IP en los túneles de interfaz. Recuerde que la dirección IP debe formar parte del dominio de cifrado de la VPN de sitio a sitio y debe estar permitida en la política del firewall para alcanzar la VPN del peer a través del túnel de la interfaz. Es posible que necesite implantar una ruta estática a través de la interfaz de túnel para la dirección IP del peer.
El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Si configura la VPN de sitio a sitio para Government Cloud, consulte Parámetros de VPN de sitio a sitio necesarios para Government Cloud y también ASN de BGP de Oracle.
Para su lado, puede usar un ASN privado. Los ASN privados están en el rango de 64512 a 65534.
En la primera tarea, agregue la dirección IP de BGP a la interfaz de túnel de FortiGate recién creada.
Lleve a cabo los pasos siguientes para cada túnel.
- Vaya a Red y, a continuación, a Interfaz.
-
Seleccione la interfaz en la que está interesado y haga clic en Editar.
- Configure los elementos siguientes:
- IP: introduzca la dirección IP del BGP que ha asignado en el extremo de FortiGate de la interfaz de túnel. La siguiente captura de pantalla muestra un valor de ejemplo de 192.168.66.2.
- IP remota/máscara de red: agregue la dirección IP de BGP asignado en el extremo de Oracle de la interfaz de túnel. Incluya una máscara /30 o /31, según cómo haya especificado las direcciones en la consola de Oracle. En la siguiente captura de pantalla, se utilizó 192.168.66.0/30, donde se asignó 192.168.66.2 en el extremo de FortiGate y 192.168.66.1 en el extremo de Oracle.
Acceso a Ping (recomendado): en la sección Acceso administrativo, active el acceso de ping.
- Haga clic Aceptar.
Lleve a cabo los pasos siguientes para cada túnel.
- Vaya a Red y, a continuación, a BGP.
- Introduzca los siguientes elementos:
- AS local: su ASN de BGP. Puede usar un ASN privado. Los ASN privados están en el rango de 64512 a 65534.
- ID de enrutador: valor que proporciona una identidad única para este enrutador de BGP entre sus peers.
- Adjuntos: Haga clic en Crear nuevo e introduzca la dirección IP de BGP para el extremo de Oracle del túnel, y el ASN de BGP de Oracle. El ASN de BGP de Oracle para la nube comercial es 31898, excepto la región Serbia Central (Jovanovac), que es 14544. Si está configurando la VPN de sitio a sitio para conectarse a Government Cloud, consulte ASN de BGP de Oracle.
Redes: puede utilizar este campo para anunciar una subred específica en BGP. También puede anunciar subredes mediante la sección Redistribuir en la sección Opciones avanzadas.
- Haga clic Aceptar.
Verificación
El siguiente comando de la CLI resulta útil para recopilar datos estadísticos, como el número de paquetes cifrados en comparación con los descifrados, la cantidad de bytes enviados respecto a los recibidos, el identificador del dominio de cifrado (SPI), etc. Este tipo de información puede ser crítico para determinar un problema con la VPN.
diagnose vpn tunnel list
El siguiente comando indica una falta de política de firewall, una falta de ruta de reenvío y problemas de orden de políticas. Si no hay problemas de comunicación, este comando devuelve una salida en blanco.
diagnose debug flow
El siguiente comando verifica la información de estado de vecino de BGP. Recuerde que un estado "Activo" no significa que la sesión de BGP esté activa. "Activo" hace referencia a un mensaje de estado de BGP. Para obtener más información, consulte Contexto y conceptos de BGP en la documentación de FortiGate.
get router info bgp summary
El siguiente comando proporciona información más detallada sobre un vecino de BGP.
get router info bgp neighbors
Un servicio de supervisión también está disponible en Oracle Cloud Infrastructure para supervisar de forma activa y pasiva los recursos en la nube. Para obtener información sobre cómo supervisar la VPN de sitio a sitio, consulte Métricas de VPN de sitio a sitio.
Si tiene alguna incidencia, consulte Solución de problemas de VPN de sitio a sitio.