Cómo configurar una VPN IPsec Site-to-Site segura en FortiOS

Escrito por Armando Zeferino Gonzal

Conectando sucursales sin sacrificar seguridad: Pasos críticos, cifrado y mejores prácticas.

En la era actual del trabajo distribuido y la nube híbrida, las empresas rara vez operan desde una sola ubicación física. Es común tener la oficina central (HQ), una sucursal comercial en otra ciudad, una bodega logística y quizás recursos críticos alojados en la nube. El desafío para los administradores de TI es claro: ¿Cómo logramos que todas estas redes dispares hablen entre sí de forma segura a través de un medio público, hostil e inseguro como Internet?

La respuesta estándar de la industria es el túnel VPN IPsec (Internet Protocol Security) en modalidad Site-to-Site.

Una red privada virtual VPN de este tipo actúa como un cable invisible y blindado que une dos puntos geográficos, permitiendo que el tráfico fluya de manera transparente. A diferencia de las VPNs para dispositivos móviles (donde cada empleado debe ingresar su nombre de usuario para conectar su laptop), en una VPN Sitio a Sitio, son los propios dispositivos de red (FortiGate) los que negocian la conexión. Esto permite que los usuarios accedan a recursos remotos sin necesidad de que inicie sesión en un cliente VPN adicional.

Aunque Fortinet y su sistema operativo FortiOS ofrecen un "Wizard" (asistente) que facilita mucho este proceso, confiar ciegamente en los valores predeterminados puede resultar en túneles inestables, de bajo rendimiento o, peor aún, inseguros (usando algoritmos de cifrado obsoletos como DES o MD5 que son fáciles de romper).

En esta guía exhaustiva, el equipo de ingeniería de OXM TECH te explica cómo levantar un túnel IPsec robusto entre dos equipos, asegurando no solo la conectividad, sino la integridad y confidencialidad de tus datos confidenciales.

Escenario de Ejemplo y Topología

Para que esta guía sea fácil de seguir, imaginaremos la siguiente topología de red. Es vital tener este mapa claro antes de empezar cualquier configuración de red.

  • Sitio A (Oficina Central - HQ):

    • IP Pública: 1.1.1.1

    • Red Interna (LAN): 192.168.10.0/24

  • Sitio B (Sucursal Remota):

    • IP Pública: 2.2.2.2

    • Red Interna (LAN): 192.168.20.0/24

Regla de Oro: Las subnets locales de ambos sitios NO deben solaparse. Si ambos sitios usan la red 192.168.1.0/24, la VPN no funcionará correctamente sin configuraciones complejas de NAT (Network Address Translation). Planifica tu direccionamiento IP con cuidado.

Paso 1: Creación del Túnel (Fase 1 y Fase 2)

Vamos a configurar el Sitio A. (Luego deberás replicar estos pasos en el Sitio B con los datos invertidos).

  1. Ve al menú VPN > IPsec Tunnels y haz clic en Create New.

  2. Ponle un nombre descriptivo (ej. To-Sucursal-B).

  3. Tipo de Plantilla: Selecciona Custom (Personalizado). Aunque el "Wizard" es rápido, la opción "Custom" nos da control total sobre la seguridad y los métodos de autenticación. Haz clic en Next.

Configuración de Red (Network)

Aquí definimos cómo se encuentran los dos equipos a través de la red pública.

  • IP Version: IPv4.

  • Remote Gateway: Static IP Address (asumiendo que tienes IPs fijas).

  • IP Address: Ingresa la IP pública del Sitio B (2.2.2.2).

  • Interface: Selecciona tu puerto WAN (por donde sales a internet a través de tus proveedores de servicios).

  • NAT Traversal: Enable. Esto es crucial si uno de los FortiGates está detrás de un módem del ISP y no tiene la IP pública directa en su interfaz.

  • Dead Peer Detection (DPD): On Demand. Esta función envía "latidos" para verificar si el otro extremo sigue vivo. Si el túnel se cae, ayuda a reiniciarlo automáticamente.

Autenticación

Para establecer una conexión segura, los equipos deben confiar el uno en el otro.

  • Method: Pre-shared Key (Clave pre-compartida).

  • Pre-shared Key: Escribe una contraseña larga (más de 20 caracteres) y compleja. Importante: Esta clave debe ser idéntica en ambos sitios. Es el secreto que permite el intercambio de claves inicial.

IKE Version (La seguridad del handshake)

  • Selecciona IKEv2.

    • ¿Por qué? IKEv2 es el estándar moderno. Es más rápido, más estable en caso de micro-cortes de internet y más seguro que el antiguo IKEv1.

Phase 1 Proposal (Cifrado del canal de control)

Aquí definimos cómo se van a cifrar y descifrar las negociaciones del túnel. Evita los valores por defecto viejos (como DES o 3DES).

  • Encryption: Selecciona AES256. Es el estándar de oro para redes corporativas.

  • Authentication: SHA256.

  • Diffie-Hellman Group: Selecciona el grupo 14 (mínimo) o grupos 19/21 para mayor seguridad.

    • Nota Técnica: El grupo DH define la fortaleza matemática de la generación de claves. Ambos lados deben coincidir exactamente en estos parámetros.

  • Key Lifetime: 86400 segundos (estándar).

Phase 2 Selectors (El tráfico de datos)

Aquí definimos qué tráfico específico tiene permiso para pasar por el túnel.

  • Local Address: Subnet 192.168.10.0/24 (Tu red local).

  • Remote Address: Subnet 192.168.20.0/24 (La red de la sucursal).

  • Advanced: Activa Auto-negotiate y Perfect Forward Secrecy (PFS).

    • Importante: PFS asegura que, incluso si un atacante logra romper una clave en el futuro, no podrá descifrar las sesiones pasadas. Es vital para la protección de datos a largo plazo.

Paso 2: Configuración de Rutas Estáticas

Crear el túnel no es suficiente; el FortiGate necesita saber cómo enrutar los paquetes. Si un usuario intenta enviar un correo electrónico o acceder a un servidor en la red 192.168.20.0/24, el firewall debe saber que debe enviarlo por el túnel y no a internet normal.

  1. Ve a Network > Static Routes.

  2. Haz clic en Create New.

  3. Destination: 192.168.20.0/24 (La red remota).

  4. Interface: Selecciona la interfaz del túnel VPN que acabas de crear (To-Sucursal-B).

  5. Distance: Deja el default (10) o ajústalo si tienes múltiples rutas.

Paso 3: Políticas de Seguridad (Firewall Allow Rules)

Por defecto, FortiOS bloquea todo el tráfico (Denegación implícita). Necesitas políticas de seguridad explícitas para permitir el flujo de datos.

  1. Ve a Policy & Objects > Firewall Policy.

  2. Crear Regla de Salida (Sitio A -> Sitio B):

    • Name: VPN_Outbound

    • Incoming Interface: Tu puerto LAN (ej. Port2, donde están los usuarios).

    • Outgoing Interface: La interfaz del túnel VPN (To-Sucursal-B).

    • Source: 192.168.10.0/24.

    • Destination: 192.168.20.0/24.

    • Service: ALL (O limita a lo necesario, ej. RDP para escritorio remoto, HTTPS).

    • NAT: DESACTIVADO.

      • Crucial: En una VPN site-to-site corporativa, generalmente queremos ver la IP real del origen, por lo que NO debemos activar NAT en estas políticas.

  3. Crear Regla de Entrada (Sitio B -> Sitio A):

    • Crea una regla inversa permitiendo el tráfico desde la interfaz VPN hacia la LAN. Sin esto, el tráfico podría salir, pero la respuesta no podría entrar.

Paso 4: Diagnóstico y Monitoreo

Una vez configurado en ambos lados (recordando invertir las IPs locales y remotas en el Sitio B), el túnel debería subir automáticamente.

  1. Ve a Dashboard > Network > IPsec.

  2. Deberías ver el túnel en color verde, indicando que Phase 1 y Phase 2 están arriba.

  3. Si está rojo (Down), selecciona el túnel y haz clic en Bring Up.¿Problemas comunes?

  • Mismatch en Phase 1: Revisa minuciosamente que la "Pre-shared Key" sea idéntica y que los algoritmos de encriptación (AES/SHA/DH Group) sean exactamente iguales en ambos lados.

  • Reglas de Firewall: A veces el túnel sube (Phase 1 y 2 en verde) pero no pasa tráfico (el Ping falla). Revisa que las políticas de firewall no tengan NAT activado y que las subnets (Source/Destination) sean correctas.

  • ISP Bloqueando: Algunos proveedores de servicios de internet bloquean los puertos UDP 500 y 4500 necesarios para IPsec. Verifica esto si el túnel no negocia en absoluto.


Recomendaciones de Seguridad Avanzada (Hardening VPN)

Para configurar una VPN de alto rendimiento y verdaderamente segura:

  1. Restricción de IP (Local ID / Peer ID): Si el sitio remoto tiene IP fija, configura el Local ID y Peer ID en la configuración de Phase 1. Esto asegura que solo ese dispositivo específico pueda iniciar la conexión, evitando ataques de suplantación.

  2. Evita algoritmos débiles: Nunca uses 3DES, DES o MD5. Son vulnerables y fáciles de desencriptar hoy en día por actores maliciosos.

  3. Monitoreo de Logs: Activa el logueo de todo el tráfico en las políticas de la VPN. Esto es esencial para auditar quién accede a qué recursos entre sucursales y detectar comportamientos anómalos.

Preguntas Frecuentes (FAQ)

1. ¿Necesito que los usuarios realicen un inicio de sesión para usar esta VPN?

No. A diferencia de las VPNs para teletrabajo, esta es transparente. El usuario enciende su PC y accede a las carpetas compartidas del servidor remoto automáticamente. El control de acceso se gestiona a nivel de firewall, no de usuario final.

2. ¿Funciona esta configuración con diferentes sistemas operativos?

Sí. IPsec es un estándar universal. Aunque esta guía es para conectar dos FortiGates, el protocolo es compatible si el otro extremo es un router Cisco, un firewall Palo Alto o incluso servidores Linux/Windows, siempre que coincidan los parámetros de cifrado.

3. ¿Qué hago si una sucursal no tiene IP Pública fija (IP Dinámica)?

En ese caso, puedes usar DNS Dinámico (DDNS) en la sucursal. En el Sitio A (HQ), en lugar de poner una "Static IP Address", configuras el "Remote Gateway" como "Dynamic DNS". O bien, configuras la VPN en modo "Dial-up" donde la sucursal siempre inicia la conexión hacia la central.

Conclusión: Conectividad segura, negocio continuo

Una VPN bien configurada es invisible para el usuario: simplemente accede a sus archivos y aplicaciones como si estuviera sentado en la oficina central. Una VPN mal configurada es una fuente constante de frustración, latencia y llamadas a soporte técnico.

La configuración VPN correcta de Phase 1 y Phase 2, junto con el uso de IKEv2 y AES256, garantiza que tus datos viajen blindados. Esta es la base de la interconexión de sucursales moderna.

¿Tus VPNs son lentas o inestables?

Configurar un túnel es fácil; optimizarlo para rendimiento, estabilidad y seguridad requiere experiencia profunda. Problemas de MTU, fragmentación de paquetes o latencia pueden arruinar la experiencia del usuario y detener la productividad.

En OXM TECH, somos especialistas certificados en redes corporativas y seguridad Fortinet. Diseñamos arquitecturas de interconexión SD-WAN y VPN que garantizan velocidad y seguridad.

¿Necesitas conectar múltiples sucursales, configurar una topología Hub-and-Spoke o diagnosticar un túnel problemático? [Agenda una revisión técnica con OXM TECH aquí] y construyamos juntos una red sin fronteras.

Armando Zeferino Gonzal
Anterior

Implementación de SD-WAN con Fortinet
Siguiente

Seguridad Digital Tu guía definitiva