Cómo configurar una VPN site-to-site desde Fortigate a AWS VGW.

Introducción

1 Conceptos Generales

  • Customer gateway: Es un dispositivo físico o una aplicación de software del lado de on-premise para hacer la conexión VPN. Para nuestro ejemplo será el Fortinet 40F.
  • Virtual Gateway: Es el concentrador del lado de AWS para construir la VPN.
  • Static Routing: Ocurre cuando un router usa una entrada de enrutamiento configurada manualmente.
  • Dynamic Routing: es una técnica en donde el Router aprende sobre el enrutamiento de froma automática para seleccionar la mejor ruta.

2 Creación de un Customer Gateway

Creación de CGW

3 Creación de un Virtual Private Gateway

Creación de VGW
Asociación de VGW a VPC

4 Creación del Tunel desde AWS

  • IP Prefixes: hace referencia al CIDR de la red on-premises.
  • Local IPv4 Network Cidr: hace referencia al CIDR de la red on-premises.
  • Local IPv4 Network Cidr: hace referencia al CIDR de la VPC en AWS.

5 Configuración de reglas de tráfico en AWS.

Tabla de enrutamiento

Configuración de la tabla de enrutamiento

Security Group

Configuración de Security Group

6 Creación del Túnel en Fortinet

6.1 Descargar configuración del Fortinet

Descargar configuración para on-premise.
Descargar configuración para Fortinet 40+

6.2 Configuración de VPN en Fortinet

Paso 1 — Configuración Túnel VPN Fortinet

6.2.1 Network

  • IP Address: Es la IP pública de uno de los 2 túneles en AWS. Para este caso utilizaremos 13.56.106.130.
  • Interface: Seleccionamos la interface configurada en nuestro Fortinet que tiene la conexión WAN.

6.2.2 Authentication

6.2.3 Phase 1 Proposal

6.2.4 XAUTH

6.2.5 Phase 2 Selectors

6.2.6 Advanced

7. Configurar Interface WAN

7.1 Configurar Dirección de VPN

7.2 Configurar rutas estáticas

7.3 Configurar Políticas

7.3.1 Política de VPN a Local

7.3.2 Política de Local a VPN

8. Monitoreo

Métricas de Monitoreo del Túnel

9. Lecciones Aprendidas

  • Al crear una conexión con enrutamiento estático es importante saber que si no hay tráfico el túnel por defecto se cae. Para evitar esto se debe configurar del lado del fortinet un vdom que va a mantener un ping en la VPN.
  • Si comparamos el enrutamiento estático vs el dinámico, será mejor utilizar dinámico dado que nos ayudará a mantener el túnel levantado siempre.
  • En este post se configuro solo uno de los túneles, pero tenga en cuenta que AWS provee por defecto dos para mantener alta disponibilidad. Lo recomendado siempre es configurar todos los túneles.
  • Se puede cambiar el modo de la VPN creada para usar Transit Gateway siguiendo estos sencillos pasos.
  • La diferencia al configurar una VPN con enrutamiento dinámico (BGP) requiere más configuración del lado on-premises dependiendo del dispositivo que tengamos. Por ejemplo para Fortinet pueden hacerlo consultando el siguiente link.

--

--

--

AWS x10, Tech Director en Globant con más de 7 años de experiencia en AWS.

Love podcasts or audiobooks? Learn on the go with our new app.

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store
Carlos Andres Zambrano Barrera

Carlos Andres Zambrano Barrera

AWS x10, Tech Director en Globant con más de 7 años de experiencia en AWS.

More from Medium

Deploy multi-container service on AWS LightSail

Enhanced Networking — 2 — Verifying ENA

How to Assign Secondary IP to an EC2 Instance

HOSTING A STATIC WEBSITE IN AWS S3