Fortinet VPN con pfSense: Una Guía Detallada para la Conectividad Segura

By /

La elección de una solución de firewall perimetral puede marcar la diferencia entre una red protegida y un entorno vulnerable. Hoy existen alternativas para todos los perfiles y presupuestos, desde plataformas open source hasta appliances de nivel empresarial. No existe “el mejor firewall”, sino el más adecuado para tu entorno. Analizá necesidades, recursos y expectativas. En el mundo de la ciberseguridad, la elección del firewall es una decisión estratégica. La ciberseguridad no es un concepto abstracto, es una acción.

La Evolución de las Amenazas Digitales y la Necesidad de Protección

La evolución de las amenazas digitales nos obliga a repensar nuestras estrategias de protección. En este contexto, la implementación de una Red Privada Virtual (VPN) se presenta como una herramienta fundamental para salvaguardar la integridad de los datos y asegurar la comunicación entre diferentes ubicaciones. Una VPN con puertas de enlace correctamente programadas solo permitirá que los datos pasen si tiene la autenticación adecuada. Si una VPN es difícil de usar, puede causar más frustración que conveniencia. Los usuarios deben tener la libertad de acceder a la VPN mediante un navegador web. Si bien es importante garantizar la facilidad de acceso, esto no debe dar lugar a prácticas de seguridad laxas. Esto no significa que el acceso tenga que ser engorroso.

Representación gráfica de la evolución de las amenazas digitales

Con una VPN, también puede facilitar la administración de la red. Puede administrar ubicaciones remotas desde una oficina central y ejercer un control total sobre toda la red. Es fácil escalar una VPN. Puede agregar un nuevo sitio, usuario, oficina u organización asociada en minutos. Si no tiene que colocar clientes VPN adicionales en cada nueva ubicación, es rápido y económico incorporar conexiones adicionales. En caso de un desastre, ya sea causado naturalmente o debido a un problema de infraestructura, es importante minimizar la interrupción de los negocios y volver a ponerlos en marcha lo antes posible. Si, por ejemplo, una oficina se ve afectada por un desastre, los empleados no tienen que detener toda la producción hasta que las cosas vuelvan a funcionar. Se les puede otorgar a cada uno acceso a la VPN de sitio a sitio, conectarse a los recursos en la sede central y trabajar desde casa. Con una VPN, usted tiene el poder de implementar una nueva solución en una amplia red de dispositivos en diversas ubicaciones físicas. Puede elegir a qué sitios proporcionar la nueva solución primero, segundo, etc.

La implementación de una VPN de sitio a sitio para una organización suele ser un desafío. Mantener el funcionamiento y la seguridad de la VPN puede consumir recursos valiosos. Además, con los servicios gestionados, tiene una solución escalable que le permite agregar ubicaciones en cualquier parte del mundo.

Fortinet y pfSense: Un Dúo Potente para la Seguridad de Red

En el entorno actual de Ciberseguridad en rápida evolución, la VPN sola puede no ser suficiente para proteger datos sensibles y mantener la red de su organización segura. Fortinet ayuda a las organizaciones a proteger y conectar sus empleados y dispositivos de trabajo desde cualquier lugar a aplicaciones y recursos críticos. El ZTNA universal de Fortinet es una solución de seguridad sólida que ofrece flexibilidad empresarial, control de acceso granular y verificación continua. Con el control de acceso granular, el acceso se otorga a aplicaciones específicas solo para esa sesión, lo que proporciona una mejor seguridad. El ZTNA universal no requiere licencias adicionales y es una función gratuita en FortiOS y FortiClient, lo que permite a los clientes cambiar de VPN a ZTNA a su propio ritmo.

Debido al movimiento continuo entre entornos locales, de red doméstica y de red pública, la confianza cero, el endpoint y la seguridad de red deben conectarse a través de un marco de seguridad y administración centralizado. Las soluciones unificadas por un conjunto común de API y puntos de integración garantizan que los usuarios puedan cambiar sin problemas de una ubicación a otra, disfrutando de una experiencia del usuario consistente que está protegida adecuadamente con seguridad contextual. Con una amplia cartera de soluciones de seguridad de red, endpoint y confianza cero dentro del Fortinet Security Fabric, Fortinet puede ofrecer seguridad, servicios e Inteligencia de amenazas que pueden seguir automáticamente a los usuarios a través de redes distribuidas.

Aquí es donde entra en juego pfSense, una solución de firewall y router basada en código abierto que, además, te permite configurar una VPN robusta. ¿El objetivo? Configurar una VPN con pfSense no solo protege tu red contra accesos no autorizados, sino que también mejora la experiencia de conexión remota. Pero ¿por qué utilizar pfSense para esto?

Diagrama de red mostrando la interconexión de Fortinet y pfSense

Configuración de una VPN IPsec IKEv2 entre FortiGate y pfSense

La configuración de una VPN IPsec utilizando IKEv2 entre un FortiGate y un pfSense es una tarea común para establecer túneles seguros entre redes. A menudo, ambos dispositivos están directamente accesibles desde Internet, sin necesidad de NAT, y se utilizan servicios de DNS dinámico (DynDNS) para mantener la conectividad.

Un escenario típico implica un FortiGate con una interfaz de gestión en una red local, por ejemplo, 10.20.1.1/24, y la necesidad de alcanzar una red remota, como 10.222.0.0/24, donde reside el pfSense con la IP 10.222.0.1. En esta configuración, es crucial entender cómo se gestiona el enrutamiento y cómo se establecen las rutas para que la comunicación sea bidireccional.

Problemas Comunes y Soluciones en el Enrutamiento

Un punto de confusión frecuente surge al observar la tabla de enrutamiento del FortiGate. Comandos como "get router info routing-table all" pueden mostrar entradas inesperadas, como una ruta para 10.222.0.0/24 que apunta a una IP (por ejemplo, 10.0.0.5) que no ha sido configurada explícitamente ni se encuentra en el lado remoto. Esto puede deberse a la forma en que FortiOS interpreta y construye su tabla de enrutamiento basándose en las configuraciones de la VPN y las políticas de seguridad.

La expectativa natural es que el "next hop" para la red remota sea la dirección IP del dispositivo pfSense en esa red (10.222.0.1). Si la tabla de enrutamiento muestra una IP diferente o una interfaz de túnel sin una IP configurada directamente, es necesario revisar la configuración de las políticas de VPN y las rutas estáticas o dinámicas asociadas al túnel IPsec.

Además, es importante verificar que la interfaz del túnel VPN en el FortiGate, que a menudo se encuentra debajo de la interfaz WAN principal (wan1), tenga la configuración adecuada, incluso si no se le asigna una dirección IP directamente, ya que su función es encapsular y desencapsular el tráfico VPN.

Asegurando la Comunicación Bidireccional

Otro desafío común se presenta cuando la VPN se establece, pero la comunicación no es bidireccional. Por ejemplo, desde la LAN detrás de pfSense (192.168.214.0/24) se puede acceder a la LAN detrás de FortiGate (192.168.211.0/24), pero no a la inversa. Esto suele indicar problemas en las reglas de firewall o en las configuraciones de enrutamiento en uno o ambos extremos.

En estos casos, es fundamental verificar que las reglas de firewall en ambos dispositivos permitan el tráfico entre las redes internas y la red remota a través del túnel VPN. Esto incluye la configuración de las "Security Policies" en FortiGate y las "Firewall Rules" en pfSense.

El Rol del ISP y la Configuración de Red

La infraestructura de red proporcionada por el Proveedor de Servicios de Internet (ISP) puede influir significativamente en la configuración de la VPN. Si tanto FortiGate como pfSense se conectan a Internet a través de routers suministrados por el ISP, es posible que se requiera una configuración específica en estos routers para permitir el tráfico VPN. Esto puede incluir la apertura de puertos necesarios para IPsec (puertos UDP 500 y 4500) y la correcta gestión del enrutamiento.

En algunos escenarios, el ISP puede tener un control total sobre la red y requerir la solicitud de permisos para ciertas configuraciones. Si el ISP bloquea o restringe el tráfico, esto puede ser un obstáculo importante. La presencia de una IP pública fija en todas las sedes es un factor positivo que simplifica la configuración de la VPN.

How to make IPsec site to site VPN between FortiGate and PFsense

Consideraciones Avanzadas y Alternativas

Rutas por Defecto y Enrutamiento Inter-VLAN

Un escenario más complejo surge cuando el enrutamiento inter-VLAN es manejado por el firewall. Si el firewall principal, en este caso un Fortinet, se cae, la comunicación entre diferentes VLANs dentro de la LAN se interrumpe. Para mitigar esto, se puede configurar el enrutamiento inter-VLAN en un dispositivo de Capa 3 dedicado, manteniendo los servicios básicos (DHCP, DNS, correo) en un segmento LAN fuera del firewall principal para asegurar su disponibilidad continua.

En este contexto, el dispositivo de Capa 3 debe tener una regla que redirija el tráfico desconocido (0.0.0.0) hacia el Fortinet. Si se implementa pfSense, podría ser necesario editar la regla actual para que todo lo que el dispositivo de Capa 3 no conozca se envíe al pfSense, o implementar una solución que automatice este proceso.

Desafíos con IPs de Router ISP

En una situación donde se ha intentado configurar una VPN y la salida a Internet funcionó, pero la VPN no se entendió, puede deberse a que la nueva IP del router del ISP (por ejemplo, 172.16.1.250) no se comunicó correctamente con pfSense. La incapacidad de redirigir la VPN o la falta de entendimiento entre los dispositivos puede llevar a la reversión de la configuración.

Para superar estos obstáculos, es fundamental entender la arquitectura de red, la asignación de IPs y cómo los dispositivos de borde (routers ISP, firewalls) interactúan.

La Importancia de la Seguridad y la Escalabilidad de la VPN

La VPN elegida por una empresa debe estar protegida por estrictas medidas de seguridad. Los datos que viajan hacia adelante y hacia atrás deben estar protegidos, tanto a medida que se mueven de un punto a otro como mientras están en reposo en cada ubicación. Esto implica una autorización, autenticación y administración adecuadas.

La facilidad de uso también es crucial. Si una VPN es difícil de usar, puede generar frustración. Los usuarios deben poder acceder a la VPN a través de un navegador web, sin que esto comprometa la seguridad.

Desde una perspectiva de administración, una VPN bien configurada facilita el control de ubicaciones remotas desde una oficina central. La escalabilidad es otra ventaja clave; agregar nuevos sitios, usuarios u organizaciones asociadas puede realizarse en minutos sin la necesidad de instalar clientes VPN adicionales en cada nueva ubicación, lo que resulta rápido y económico.

Infografía sobre los beneficios de la VPN

Fortinet Security Fabric y ZTNA: Una Visión Hacia el Futuro

El Fortinet Security Fabric ofrece una amplia cartera de soluciones de seguridad de red, endpoint y confianza cero. Permite proteger y conectar empleados y dispositivos de trabajo desde cualquier lugar a aplicaciones y recursos críticos. El ZTNA (Zero Trust Network Access) universal de Fortinet es una solución de seguridad robusta que proporciona flexibilidad empresarial, control de acceso granular y verificación continua. Con el control de acceso granular, el acceso se otorga a aplicaciones específicas solo para esa sesión, mejorando la seguridad. El ZTNA universal es una función gratuita en FortiOS y FortiClient, lo que permite a los clientes migrar de VPN a ZTNA a su propio ritmo.

En el panorama actual, donde los entornos son híbridos (locales, redes domésticas, redes públicas), la confianza cero, la seguridad de endpoints y la seguridad de red deben integrarse en un marco de seguridad y administración centralizado. Las soluciones unificadas garantizan que los usuarios puedan moverse sin problemas entre ubicaciones, disfrutando de una experiencia de usuario consistente y protegida con seguridad contextual.

Configuración Detallada de pfSense para VPN OpenVPN

Para aquellos que buscan configurar una VPN con pfSense, el proceso implica varios pasos clave:

Preparación de Interfaces y DHCP

  1. Verificar Interfaces WAN y LAN: Asegúrate de que las interfaces WAN y LAN de pfSense estén correctamente configuradas. Accede a la interfaz web de pfSense (usuario/contraseña por defecto: admin/pfsense).
  2. Configurar Interfaz LAN: Ve a "Interfaces > LAN", asigna la red deseada (por ejemplo, 10.0.0.0/24) y define la IP del router como 10.0.0.3/24. Guarda y aplica los cambios.
  3. Habilitar Servidor DHCP: En "Services > DHCP Server" para la interfaz LAN, habilita el servidor DHCP y configura un rango de direcciones para los clientes (por ejemplo, 10.0.0.100 a 10.0.0.200).

Configuración del Servidor OpenVPN

  1. Instalar Paquete de Exportación: Asegúrate de tener instalado el paquete "openvpn-client-export" desde "System > Package Manager > Available Packages".
  2. Utilizar el Wizard de OpenVPN: Comienza el Wizard para configurar el servidor OpenVPN. Para simplificar, puedes usar autenticación por usuarios locales. Al finalizar, revisa las configuraciones del servidor, con la opción de modificarlas posteriormente.
  3. Generar Usuarios VPN: Crea usuarios VPN desde "System -> User Manager -> Users -> +ADD" para que los clientes puedan autenticarse.

Exportación de Clientes y Configuración de Reglas

  1. Exportar Configuración del Cliente: Ve a "VPN -> OpenVPN -> Client Export". Descarga e instala el archivo de configuración (.ovpn) correspondiente al cliente VPN que utilizarás (Windows, MacOS, Android, iOS).
  2. Verificar Configuración del Servidor OpenVPN: En pfSense, ve a "VPN > OpenVPN". En la pestaña de servidores, verifica que la configuración incluya la red de túnel IPv4 (ej. 192.168.1.0/24) y que en "IPv4 Local Network/s" esté configurada la red LAN (ej. 10.0.0.0/24).
  3. Configurar Reglas de Firewall (OpenVPN): Ve a "Firewall > Rules" y selecciona la pestaña "OpenVPN". Crea una regla para permitir el tráfico:
    • Action: Pass
    • Interface: OpenVPN
    • Protocol: TCP (o el protocolo necesario)
    • Source: Network (especifica la red remota, ej. 192.168.1.0/24)
    • Destination: Address or Alias (especifica la IP del servidor o servicio en la LAN, ej. 10.0.0.14)
    • Destination Port Range: El puerto del servicio (ej. 5601)
    • Description: Un nombre descriptivo.
  4. Configurar Reglas de Firewall (LAN): En la pestaña "LAN", verifica o crea una regla para permitir el tráfico desde la red OpenVPN a la LAN:
    • Action: Pass
    • Interface: LAN
    • Protocol: TCP (o el protocolo necesario)
    • Source: Network (especifica la red remota, ej. 192.168.1.0/24)
    • Destination: LAN net
    • Description: Un nombre descriptivo.
  5. Configurar NAT (si es necesario): Si el tráfico no fluye, puede ser necesario configurar NAT de salida. Ve a "Firewall > NAT > Outbound". Activa el modo "Manual Outbound NAT Rule Generation". Crea una regla:
    • Interface: LAN
    • Source: Network (la red remota, ej. 192.168.1.0/24)
    • Destination: Network (la red LAN, ej. 10.0.0.0/24)
    • Translation: Interface Address
    • Description: Un nombre descriptivo.

Verificación de Conectividad

Una vez configurado, abre el archivo de configuración .ovpn del cliente y utiliza herramientas como ping o traceroute desde el cliente OpenVPN para verificar la conectividad con los dispositivos en la red de destino.

Con esta solución, no solo te aseguras de que tus datos viajen de forma cifrada, sino que también tienes el control absoluto sobre quién entra y sale de tu red. Además, una vez que domines pfSense, te darás cuenta de lo potente que puede ser para otros aspectos de tu red. Desde priorizar tráfico hasta bloquear intrusiones, pfSense no solo es un "firewall", sino un verdadero guardián de tu red.

tags: #fortinet #vpn #con #pfesn

Publicaciones populares:

  • Control del directorio de trabajo SFTP
  • Protocolos de seguridad web
  • Velocidad de internet para GTA V Online
  • Comparación: EZMira vs AnyCast
  • Convierte TV clásica a moderna con HDMI a RCA