top of page
Buscar

Encapsulando a través de internet: VXLAN over IPsec

  • jogofus
  • 16 ene 2024
  • 2 Min. de lectura

Como dije en la anterior entrada, hoy vamos a extender la red entre dos sedes separadas físicamente, y conectadas entre sí por internet.


Lo que vamos a hacer es configurar un túnel IPsec que interconecte estas dos ubicaciones y que, además, el tráfico esté cifrado.


A través de este túnel vamos a extender la capa 2 del modelo OSI, tal como se mencionó en la última entrada. Si no sabes lo que es una VXLAN o cómo funcionan, te recomiendo que le eches un vistazo: creación de VXLAN en Fortigate



Vamos a recurrir al escenario de la última vez: dos máquinas virtuales con FortiOS, proporcionadas por la propia marca.



Configuración del túnel IPsec


FortiOS-1

config vpn ipsec phase1-interface
	edit ipsecA
	set interface port1
	set peertype any
	set proposal des-sha256
	set remote-gw 10.178.10.60
	set psksecret secret123
next
end

config vpn ipsec phase2-interface
	edit ipsecA-p2
	set phase1name ipsecA
	set proposal des-sha256
	set auto-negotiate enable
next
end

FortiOS-2

config vpn ipsec phase1-interface
	edit ipsecB
	set interface port1
	set peertype any
	set proposal des-sha256
	set remote-gw 10.178.10.50
	set psksecret secret123
next
end

config vpn ipsec phase2-interface
	edit ipsecB-p2
	set phase1name ipsecB
	set proposal des-sha256
	set auto-negotiate enable
next
end

Ahora vamos a configurar una IP interna para la interfaz del túnel


FortiOS-1

config system interface
	edit ipsecA
	set vdom root
	set ip 10.0.252.50 255.255.255.255
	set allowaccess ping
	set type tunnel
	set remote-ip 10.0.252.60 255.255.255.255
	set interface port1
next
end

FortiOS-2

config system interface
	edit ipsecB
	set vdom root
	set ip 10.0.252.60 255.255.255.255
	set allowaccess ping
	set type tunnel
	set remote-ip 10.0.252.50 255.255.255.255
	set interface port1
next
end

Debemos establecer las políticas del firewall para permitir el tráfico a través del túnel. Para este ejemplo vamos a permitirlo todo.


FortiOS-1

config firewall policy
	edit 0
	set name IPSECTUNNEL
	set srcintf ipsecA
	set dstintf ipsecA
	set action accept
	set srcaddr all
	set dstaddr all
	set schedule always
	set service ALL
next
end

FortiOS-2

config firewall policy
	edit 0
	set name IPSECTUNNEL
	set srcintf ipsecB
	set dstintf ipsecB
	set action accept
	set srcaddr all
	set dstaddr all
	set schedule always
	set service ALL
next
end

Toca configurar la vxlan, que en este caso va a estar vinculada a la interfaz de IPsec.


FortiOS-1

config system vxlan
	edit vxlanA
	set interface ipsecA
	set vni 100
	set remote-ip 10.0.252.60
next
end

FortiOS-2

config system vxlan
	edit vxlanB
	set interface ipsecB
	set vni 100
	set remote-ip 10.0.252.60
next
end

Ahora configuramos un software switch, tal y como hicimos en la entrada anterior.


FortiOS-1

config system switch-interface
	edit vxlanA-sw
	set vdom root
	set member port2 vxlanA
	set type switch
	set intra-switch-policy implicit
	set mac-ttl 300
	set span disable
next
end

FortiOS-2

config system switch-interface
	edit vxlanB-sw
	set vdom root
	set member port2 vxlanB
	set type switch
	set intra-switch-policy implicit
	set mac-ttl 300
	set span disable
next
end

Adjunto captura de como se verían las interfaces una vez creado el escenario:




Comprobación del funcionamiento


Si hemos hecho todo bien, podremos ponernos a capturar tráfico, tanto en los forti como en el equipo cliente:



Y en el equipo cliente podemos ver que tanto la MAC como la IP son las del origen:





¡Espero que os sirva de ayuda!

 
 
 

コメント

bottom of page