Blog IT

Crear VPN site-to-site contra Azure usando Fortigates / Create site-to-site VPN with Fortigate to Azure

Ante las necesidades que nos impone la utilización o migración de parte de los servicios de una empresa a la nube hoy vamos a configurar una VPN entre Azure y nuestra infraestructura local por medio de Fortigate.

Esta misma entrada os valdrá si tenéis cualquier otro firewall soportado, solamente tendréis que cambiar el apartado de configuración VPN de vuestro firewall, el cual, se facilita en texto por parte de Microsoft Azure cuando estáis acabando de configurar la VPN.

Por lo tanto… comenzamos,

VPN0

Nos conectamos a nuestro panel de Azure y lo primero que tendremos que configurar es una nueva red virtual, que será nuestra LAN en Azure (Podéis crear varias). Para ello nos vamos a Redes e el menú y pulsamos sobre “Crear un red virtual”

VPN1

Ahora nos pedirá un nombre para la red LAN y una ubicación que Azure utilizará para ubicar nuestros servicios y así seleccionar el entorno más favorable a fin de garantizar un rendimiento óptimo. Si ya hubiésemos creado un grupo de afinidad, que sería lo ideal, nos saldría para seleccionarlo en vez de la ubicación. Tenéis como crear un grupo de afinidad en el post “Crear nuevo servidor virtual en Azure y la configuración básica“.

VPN2

En la siguiente pestaña dejaremos en blanco la configuración DNS y seleccionaremos “Configurar una VPN de sitio a sitio”

VPN3

Ahora configuraremos la conectividad del sitio. Le daremos un rango de IP a nuestra red en Azure, un nombre y la IP pública que gestionamos con la pata WAN de nuestro forti, es decir, la IP pública de la delegación interna que queremos conectar contra Azure. Yo voy a crear una /27 porque no quiero una red grande, vosotros decidís como vais a segmentar vuestras redes en el cloud.

VPN4

Después, generamos una subred dentro de nuestro espacio de direcciones (podemos agregar varias)

VPN5

Y por último agregamos la configuración para la puerta de enlace (la de la red, no la de la VPN).

VPN6

Tras un par de minutos ya tendremos nuestra red creada en Azure y podremos crear servidores virtuales dentro de ella, pero para poder conectarnos externamente mediante la VPN, aun tendremos que crear la puerta de enlace para esta.

VPN7

En la parte inferior pincharemos sobre “Crear puerta de enlace” y seleccionaremos Enrutamiento dinámico.

VPN8

Desea crear una puerta de enlace para la red AZURE_LUISAITOR? Pues… para eso hemos venido no? SI :D Y ahora podeis ir a tomar un cafecillo porque toca esperar unos 20 minutos.

VPN9

Mientras se crea la puerta de enlace veréis esta imagen y las tareas en ejecución en la parte inferior izquierda.

VPN10

Una vez creada nos aparecerá la IP asignada para la puerta de enlace. Si lo dejamos así, comprovaremos que la VPN no levanta y nos aparecerá el siguiente aviso de error

VPN10-2

Es completamente normal, porque ahora nos toca configurar la VPN en el fortigate. Fijaros que tenéis un enlace para descargar el script de dispositivo VPN. Si lo descargáis podréis ver la configuración que necesitáis añadir en los firewalls.

VPN12

Copiamos la clave que se nos facilita para hacer la conexión VPN

VPN13

Nos logueamos en el Fortigate y nos vamos a VPN y “Create Phase 1″

VPN14

Le damos un nombre, introducimos el password que nos han facilitado y realizamos la configuramos tal y como se describe en el archivo de script descargado. OK…

VPN15

Le damos un nombre a la fase 2 y la configuramos. Ok…

VPN15b

Una vez que tenemos la VPN configurada, solo nos queda realizar las reglas de entrada y salida para nuestra VPN y configurar la ruta estática. Cuando tengamos estos pasos dados… volvemos a VPN, “Ipsec Monitor” y pulsamos sobre Bring UP para levantar la VPN.

Listo, ya tenemos la VPN funcionando!