Ierrea.com es un un espacio donde se recogen procedimientos de un Administrador de Sistemas TIC, relacionados con entornos Virtuales VMware o Hyper-V, Cloud, Storage, Comunicaciones, etc...

Establecer una VPN entre Cloud Azure y Fortigate On-Premise


¿Cómo establecer una VPN entre nuestra Infraestructura On-Premise (local) y nuestro entorno de Azure, usando como dispositivo de seguridad perimetral un cortuegos Fortigate?

¿Para qué nos puede servir?

A éstas y muchas otras cuestiones daremos respuesta en este Post.

Cada día son más los servicios que las empresas tienden a "deslocalizar" en sus instalaciones físicas. Servicios de lo más variados, tales como, servicios web, de mensajería, motores de bases de datos, directorio activo, Erps, Backups On-Line, etc... pero, sin llegar a ser entes del todo independientes y desvinculados de su Infraestructura On-Premise, por lo que requieren de una conexión cifrada y segura entre los dos entornos, el local y el cloud.

Pues bien, contando con una suscripción de Azure, y un firewall Fortigate en nuestras oficinas físicas (en cuanto al firewall, es indiferente el modelo de Fortigate), el procedimiento sería el siguiente:

En primer lugar crearemos en el Tenant de Azure una red virtual, donde correrán los servidores/servicios de nuestro entorno cloud que queramos interconectar. Para ello, en el menú de búsqueda escribimos Virtual network, y en dicho menú pulsamos el botón Add, para cumplimentar la información de creación de la red virtual.

Cabe destacar, que tendremos que crear una red, y una subred. A futuro podríamos crear más subredes dentro de la red que conectaremos vía VPN, y así interconectar diferentes subredes/servicios

Una vez creada la red, le asignaremos unos DNSs públicos desde las opciones de Settings

Después tendremos que crear un Virtual network gateway. Para ello, en la caja de búsqueda, escribimos Virtual network gateway y hacemos clic en Add.

Cumplimentamos las opciones necesarias, indicando a qué virtual network asociaremos el Gateway, así como la IP Pública. Si no tenemos una IP Pública creada previamente, se puede crear en este paso. Lo demás... lo de siempre, suscripción, resource group, localización, etc...

A continuación, debemos crear el Local network gateway. Este objeto, hace referencia a nuestra red On-Premise o Local, es decir, la IP Pública de nuestra red local por la que conectará la VPN, así como el segmento de red en el que trabaja

De acuerdo! Pues en cuanto al entorno de Azure, ya está prácticamente todo hecho.

Ahora pasaremos a las configuraciones del Firewall Fortigate.

En primer lugar, en el firewall debemos crear la VPN. Para ello, nos dirigimos al menú VPN > IPsec Wizard , le asignamos un nombre y seleccionamos la opción Custom o personalizada

A continuación le indicamos la IP pública remota, es decir, la que hemos creado previamente en Azure, por qué interface salrá la VPN, en nuestro caso por WAN1, y deshabilitamos el NAT Traversal y DPD

Método de autenticación Pre-shared Key y metemos la clave que queramos.

Ojo a la versión de IKE!!!. En muchos lugares he visto que recomiendan emplear la versión 1, la cual no funciona o da problemas. Mi consejo sin dudarlo, es seleccionar la versión la 2

En Phase1, asegurarnos de tener Ecriptación AES 128 y Autenticación SHA1, DHG en 2 y el Lifetime a 86400

En cuanto a Phase2, simple, asignar los segmentos red local (oficinas físicas) y remota (Azure), los tipos de encriptación como en Phase1 y desmarcar PFS

Ahora tendremos que crear los objetos de las redes local y remota en el Forti. A menos que estés montando el forti desde cero, la red local ya la tendrás creada con seguridad. En cualquier caso, ahí van pantallazos de la red local y remota.

Obviamente, también necesitaremos las Policys para autorizar el tráfico entrante y saliente de la VPN. Como podéis ver, tráfico saliente, Interface de entrada LAN (o internal se suele ver) y de salida la VPN creada, y origen red local con destino red creada para azure. En la Policy de tráfico entrante, a la inversa.

Importante, deshabilitar NAT, ya que no necesitaremos traducción de direcciones.

Y por último en cuanto al firewall, una Ruta estática, para que el firewall sepa redirigir todo el tráfico con destino a la red de Azure, a través de la VPN de marras

De vuelta al Tenant de Azure, nos queda crear la conexión Site-to-site de la VPN de Azure.

Para ello, seleccionamos nuestro Virtual network gateway > Settings > Connections > Add, asignamos nombre a la conexión, tipo Site-to-site, indicamos qué Virtual network gateway y Local network gateway, y la misma PSK que asignamos en el Fortigate

Con esto, la VPN ya tiene que estar operativa y con tráfico entrante y saliente. Podemos comprobarlo tanto en las propiedades de la conexión en Azure...

... como en la monitorización de la VPN en el firewall desde el menú Monitor > IPsec Monitor

o Logs & Report > VPN Events, con sus distintas fases de negociación

Llegamos a la fase de pruebas:

A una de nuestras MMVV de Azure, le asignamos un interfaz de red, que esté conectada a la Virtual network conectada por la VPN, y arrancamos la Máquina

Compruebo que la IP asignada a dicho interfaz es, en este caso, la 10.1.0.4

Desde un servidor On-Premise, lanzo un ping sostenido contra dicha IP, y de pronto, comienza a responder. Hay enlace, hay conectividad!

Ataco por RDP a la MV de Azure, me autentico, y estoy dentro

Una vez en la MV de Azure, lanzo un ping a uno de mis servidores On-Premise, y también contesta. El tráfico en forma bidireccional queda totalmente operativo.

Ahora quedaría pensar en cómo explotar este diseño. A mí me parece muy interesante, combinarlo con una replicación del entorno a cloud (adjunto el enlace de un post en el que explico cómo llevar a cabo dicho procedimiento), de modo que quedaría un Site Recovery Manager contra Azure en toda regla, y totalmente funcional ante un desastre en el entorno local.

#FORTIGATE #AZURE #CLOUD #Windowsserver

azure-administrator-associate.png
MCSA-Windows-Server-2012-2019.png
VMW-LGO-CERT-PRO-DATA-CTR-VIRTUALIZATION