meta data de esta página
Diferencias
Muestra las diferencias entre dos versiones de la página.
Ambos lados, revisión anteriorRevisión previaPróxima revisión | Revisión previaÚltima revisiónAmbos lados, revisión siguiente | ||
hardware:fortigate:gre [2019/05/24 13:35] – lc | hardware:fortigate:gre [2021/08/13 09:26] – lc | ||
---|---|---|---|
Línea 1: | Línea 1: | ||
- | ===== Tunel GRE entre dos cortafuegos Fortinet ===== | + | ===== Túnel |
GRE (Generic Routing Encapsulation)es un protocolo para el establecimiento de túneles entre sitios .https:// | GRE (Generic Routing Encapsulation)es un protocolo para el establecimiento de túneles entre sitios .https:// | ||
- | Basicamente con un tunel GRE encapsulamos cualquier trafico | + | Basicamente con un túnel |
- | Un tunel GRE puede usarse con o sin encriptación ipsec. | + | Un túnel |
+ | {{ : | ||
+ | * CE -> Router del cliente. en nuestro caso los fortigate (Customer Edge Router ) | ||
+ | * PE -> Router del proveedor de la conexión (Provider Edge Router) | ||
- | {{ : | ||
+ | ==== Creación de un túnel GRE entre dos fortigate ==== | ||
+ | En este ejemplo vamos a conectar dos sedes que tienen a su vez varias subredes internas con distintos rangos de ip y que el proveedor de la conexión MPLS no nos las tiene enrutadas y por tanto para que se vean las subredes internas de cada sede utilizaremos un túnel GRE a través de una conexión MPLS entre dichas sedes. | ||
+ | |||
+ | Hay que conectarse a los fortigate de cada sede para realizar la configuración. Con el proveedor de la conexión decidiremos un rango de red para utilizar en cada sede . | ||
+ | Este rango es independiente del resto de redes que tengamos ya que es para conectar nuestro frewall con el router del proveedor. En este caso utilizamos las redes 172.21.0.0/ | ||
+ | |||
+ | {{ : | ||
+ | === Sede remota === | ||
+ | <sxh> | ||
+ | config system gre-tunnel | ||
+ | edit " | ||
+ | set interface " | ||
+ | set remote-gw 172.19.0.2 | ||
+ | set local-gw 172.21.0.2 | ||
+ | next | ||
+ | end</ | ||
+ | |||
+ | * Habilitar una política de salida que permita el trafico de la zona interna al nuevo interfaz a-centralgc y otra que permita el trafico del nuevo interfaz a la zona interna | ||
+ | * Definir una ruta estática que indique como alcanzar el gateway remoto | ||
+ | * Definir rutas que indiquen que redes son alcanzables por el interfaz gre-tunnel o habilitar en enrutamiento dinámico. | ||
+ | |||
+ | |||
+ | === Sede Principal === | ||
+ | <sxh> | ||
+ | config system gre-tunnel | ||
+ | edit " | ||
+ | set interface " | ||
+ | set remote-gw 172.21.0.2 | ||
+ | set local-gw 172.19.0.2 | ||
+ | next | ||
+ | end | ||
+ | </ | ||
+ | El siguiente paso será crear una zona y añadir el nuevo interfaz a dicha zona | ||
+ | {{ : | ||
+ | |||
+ | Editamos el interfaz que hemos creado | ||
+ | {{ : | ||
+ | |||
+ | le asignamos una ip local y le indicamos la ip remota (estas ips son distintas de las que usamos para crear el túnel. Son ips que nosotros mismo le damos a ese túnel para uso interno. | ||
+ | {{ : | ||
+ | |||
+ | * Habilitar una política de salida que permita el trafico de la zona interna al nuevo interfaz a-centralgc y otra que permita el trafico del nuevo interfaz a la zona interna | ||
+ | * Definir una ruta estática que indique como alcanzar el gateway remoto | ||
+ | * Definir rutas que indiquen que redes son alcanzables por el interfaz gre-tunnel o habilitar en enrutamiento dinámico. | ||
+ | |||
+ | === Verificar túnel === | ||
+ | < | ||
+ | ==== Referencias ==== | ||
+ | * https:// | ||
+ | * http:// |