En esta entrada veremos como conectar un NAS Synology por VPN a un firewall Fortigate. Nos puede servir esta configuración para realizar backups desde una localización remota o compartir ficheros.
Primero de todo, vamos a configurar el servicio de L2TP en nuestro Fortigate. Para ello, vamos a tener que acceder vía CLI al equipo, ya sea por SSH o desde el icono de la esquina superior derecha en el GUI.
Crear cuenta de usuario en Fortigate
Primero, vamos a crear una cuenta de usuario para el/los usuario/s que van a acceder a través de este acceso VPN.
- Vamos a Usuario & Autenticación -> Definición de Usuario y pulsamos en + Crear nuevo. Seleccionamos Usuario Local y, en el siguiente menú, cumplimentamos los datos de nombre de usuario y Contraseña. Pulsamos en Siguiente sin marcar ninguna otra opción y Finalizar.
- Vamos a Usuario & Autenticación -> Grupos de Usuarios y pulsamos en + Crear nuevo.
- Nombre -> Indicamos un nombre para nuestro grupo.
- Tipo -> Seleccionamos Firewall.
- Miembros -> Marcamos el usuario o usuarios que hayamos creado en el punto anterior.
Podemos crear tantos usuarios como necesitemos y añadirlos al grupo que hemos creado.
Crear VPN L2TP en Fortigate
Vamos a proceder con la configuración del servicio VPN L2TP en el Fortigate.
- Vamos a VPN -> Asistente de configuración IPsec.
- Nombre ->
- Tipo de plantilla ->
- Tipo de Dispositivo Remoto -> Seleccionamos Nativo y Windows Native.
- Pulsamos en Siguiente.
- En la pestaña de Autenticación, configuramos los siguientes campos:
- Interfaz de Entrada -> Seleccionamos nuestra interfaz externa o WAN.
- Método de Autenticación -> Seleccionamos Llave Pre-Compartida. ||| REVISAR
- Llave Pre-Compartida -> Creamos una clave que contenga mayúsculas, minúsculas, números y signos. Cuando mas larga, mejor.
- Grupo de Usurario -> Seleccionamos el grupo que hemos creado en el apartado anterior.
- Pulsamos en Siguiente.
- En la pestaña de Política y Enrutamiento, debemos configurar lo siguiente:
- Interfaz Local -> Seleccionamos nuestra interfaz de LAN. Si tenemos varias, podemos seleccionar una ahora y, mas adelante, podremos añadir nuevas redes.
- Dirección Local -> Seleccionamos el rango IP que corresponde con la Interfaz Local seleccionada.
- Rango de Dirección de Cliente -> Este será el rango de direcciones IPs que se asignaran a los clientes que accedan por VPN. Mínimo debe ser un rango de 2 IPs (si es para 1 solo acceso VPN) ya que la primera se asigna al Fortigate como puerta de enlace de los clientes.
- Mascara de subred -> Por defecto es 255.255.255.255. Dejamos esta configuración.
- Pulsamos en Siguiente.
- Por ultimo, revisamos que la información es correcta y pulsamos en Crear.
Configurar cliente VPN L2TP en Synology DSM
Una vez tenemos configurado nuestra VPN en el equipo Fortigate, vamos a proceder con la configuración del lado cliente en el NAS Synology. Para este ejemplo, estamos utilizando la versión DSM 7.1.
- Vamos a Panel de control -> Red -> Interfaz de red. Pulsamos en Crear -> Crear perfil VPN y seleccionamos L2TP/IPSec.
- En la ventana de Crear perfil | Configuración general, debemos configurar lo siguiente:
- Nombre del perfil -> Indicamos un nombre identificativo de la conexión.
- Dirección de servidor -> Indicamos la dirección IP publica o nombre dns externa del Fortigate.
- Nombre de usuario -> Indicamos el nombre del usuario VPN que hemos configurado en el Fortigate.
- Contraseña -> Indicamos la contraseña del usuario VPN que hemos configurado en el Fortigate.
- Clave compartida anteriormente -> Hay que introducir la Llave Pre-Compartida que hemos configurado en la conexión VPN del Fortigate.
- Pulsamos en Siguiente.
- En la ventana de Crear perfil | Configuración avanzada, debemos configurar lo siguiente:
- Autenticación -> Seleccionamos MS CHAP V2.
- Utilice la puerta de enlace predeterminada en la red remota -> Si queremos que todo el trafico, incluido el de internet, vaya por la VPN debemos marcar esta opción. Mi recomendación es No Marcar esta opción para evitar justo esta acción y ahorrar trafico VPN.
- Permitir que otros dispositivos de la red se conecten a través de la conexión a Internet de este servidor Synolgy -> Esta opción nos permite utilizar nuestro NAS Synolgy como router de esta VPN para otros equipos de nuestra red. Si solo queremos que el NAS Synology sea el único que acceso a la VPN, dejamos esta opción Sin Marcar.
- El servidor o los clientes están detrás del dispositivo NAT -> Para evitar problemas en equipos detrás de otros router, dejamos esta opción Marcada.
- Volver a Conectar cuando se pierda la conexión VPN -> Si queréis utilizar esta conexión para realizar tareas programadas, os recomiendo dejar esta opción Marcada.
- Pulsamos en Finalizado y volveremos al ventana de conexiones.
- Seleccionamos la conexiones VPN que acabamos de crear y pulsamos en el botón de Conectar.
En este punto ya debería esta conectado por VPN nuestro NAS Synology al Fortigate. El siguiente paso es configurar las rutas necesarias para dirigir el trafico de las redes remotas.
- Vamos a Panel de control -> Red -> Ruta estática. Pulsamos en Crear.
- Destino de red ->Indicamos la IP o rango donde están los equipos a los que queremos conectarnos detrás del Fortigate.
- Mascara de subred -> La mascara de red del rango de los equipos a los que queremos conectarnos detrás del Fortigate. Si es solo un equipo, podemos indicar 255.255.255.255.
- Pasarela -> Aquí debemos introducir la IP de la Pasarela de nuestra VPN. Este dato lo podemos encontrar en el estado de la conexión VPN, en la pestaña de Interfaz de red.
- Interfaz -> Seleccionamos VPN.
- Pulsamos en Crear.
Con esta configuración ya podremos llegar desde el NAS Synology a las redes accesibles por VPN en el Fortigate.
Podemos ampliar las redes y accesos que necesitemos modificando las reglas de Firewall que se han creado en el Fortigate.
Toda esta información es un resumen practico extraído de los siguientes KB oficiales:
https://docs.fortinet.com/document/fortigate/7.2.1/administration-guide/386346/l2tp-over-ipsec