Guías técnicas

Configuración FortiAP Remoto

Los clientes VPN y portales SSL permite un acceso remoto desde cualquier lugar con un despliegue sencillo. Pero, para situaciones en las que el trabajo remoto sea de larga duración, que requiera de más de un equipo conectado en la red corporativa como teléfonos IP, BYOD o bien se quiera establecer puestos de trabajo remotos para situaciones excepcionales Fortinet ofrece la solución de despliegues de puntos de acceso remotos.

Los puntos de acceso remotos permiten ser gestionados de forma centralizada de la misma forma como si fuese un punto de acceso gestionado por un Fortigate dentro de la organización. Además, permite la misma experiencia de conexión al usuario, misma autenticación y seguridad que tendría estando en el la WLAN corporativa.

En este artículo vamos a ver como se puede desplegar puntos de acceso remoto de forma desantendida y automática, sin necesidad de ninguna configuración por parte del usuario.

En primer lugar, debemos utilizar FortiCloud para provisionar los AP conectados con la configuración de AC (AP Controller). Para esto, primero hay que cargar los Cloud Key o Bulk Cloud Key en el caso que se añada el SKU FortiDeploy en el pedido de los APs.

Una vez tenemos los APs cargados en el inventory podemos deplegarlos indicando la IP WAN del AP Controller, el Fortigate corporativo:

Para preparar el Fortigate a recibir conexiones de APs remotos, en primer lugar es necesario activar la funcionalidad de Security Fabric Connection (6.2) o enable CAPWAP (6.0 o inferior). Una vez hecho esto, los puntos de acceso aparecerán en la sección de Managed AP esperando a ser autorizados.

Previo a la autorización es necesario activar la comunicación encriptada mediante IPSEC en el perfil para estos AP remotos. Mediante CLI:

config wireless-controller wtp-profile

             edit <AP-PROFILE>-RAP

                set dtls-policy ipsec-vpn

             next 

Por otro lado, si solo queremos que el tráfico corporativo se encamine por el túnel de forma cifrada hacia el Fortigate y el resto de trafico se gestiones de forma local o bien se utilice la salida de internet donde se encuentra el AP deberemos activar Split-tunneling en el SSID.

En primer lugar, se debe activar la funcionalidad a través de CLI o GUI en el Profile y posteriormente configurar la ACL con las redes que se quieren conmutar en local. Este seria un ejemplo:

config wireless-controller vap

  edit example-ssid

    set split-tunneling enable

  end

 

config wireless-controller wtp-profile

  edit FAP21D-default

    set split-tunneling-acl-local-ap-subnet enable

    config split-tunneling-acl

      edit 1

        set dest-ip 192.168.0.0 255.255.0.0

      end

    end

Por último, si queremos dar una solución WIFI y cableada una buena opción son los AP de hospitality FAP-C24JE o FAPU-C24JE que disponen de 3 puertos LAN configurables y donde uno de ellos es capaz de alimentar a dispositivos mediante PoE como un teléfono IP.

Para poder configurar la tunelización del tráfico cableado hacia la red corporativa, se puede, o bien utilizar el SSID corporativa configurada anteriormente, o crear una nueva para aplicarla a cada puerto de forma individual. Esta SSID no tendrá ninguna finalidad de ser propagada por WIFI con lo que la información de BSSID y seguridad no será relevante.

Una vez configurada en el perfil de AP podremos escoger que configuración tiene cada puerto, las opciones son las siguientes:

  • NAT to WAN:El puerto realizará las funciones de default Gateway de una red predefinida y encaminará el tráfico por el puerto WAN (puerto trasero) donde se hará NAT
  • Bridge to WAN:El Puerto se encuentra en el mismo nivel 2 que el puerto WAN
  • Bridge to SSID:el Puerto se asocial a un SSID, con sus parámetro de tipo tunnel o Bridge y direccionamiento.

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *