Conexión entre VPNs
Conexión entre VPNs
Buenos días,
Tengo un problema que ya me esta dando dolor de cabeza . Lo voy a explicar con detalles para darme a entender.
Tengo un fortigate 60D con una vpn ipsec de la LAN interna (10.34.x.x) configurada, los usuarios se conectan en ella para tener acceso a las oficinas.
Todo correcto, hasta que tuvimos la necesidad de crear otro vpn ipsec para conectar con una IP específica (192.168.x.x) publicada en otras instalaciones.
Entonces en mi VPN -IPsec-tunnel tengo
VPN_1:
(LAN)(10.34.x.x) Con un rango de asignación de IP de 10.34.x.1 al 10
VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
En Policy y Object
Objects -Addresses
1- Name (ippublic) -Type (subnet) -Details (192.168.x.x)- Interface (Any)
2- Name (VPNRange) -Type (Iprange) -Details (10.34.x.1-10.34.x.10)- Interface (Any)
Policy-IPv4
1-De Internal to VPN_2 origen VPNrange destino Ippublic service All action accept NAt DISABLE.
2-De VPN_2 to Internal Origen IPpublic destina Iprange service All action accept NAt DISABLE.
EN cada ordenador que se quiere conectar a esta Ippublicada he puesto una ruta persistente en la que sale por la ip interna de la VPN .
Ejemplo : route -p add 192.168.x.x mask 255.255.255.0 10.34.x.x
El caso es que conectado desde red lan de las oficinas si que el routeo funciona puedes conectar con la Ippublicada , cuando haces un tracert a las Ippubliada 192.168.x.x sale por la 10.34.x.x , pero cuando te conectas con el forticlient con la VPN_1 y te asigna una Ip del rango de LAN . Al hacer un tracert se pierde y no conecta con la Ippublicada.
Tengo que hacer algún routeo estático en el fortigate? o alguna política para que termine de conectar?para que cuando se conecten por la VPN1 que es la que conecta a las oficinas puedan llegar ala Ippublicada.
Gracias de antemano , si necesitan mas info se las puedo facilitar.
Tengo un problema que ya me esta dando dolor de cabeza . Lo voy a explicar con detalles para darme a entender.
Tengo un fortigate 60D con una vpn ipsec de la LAN interna (10.34.x.x) configurada, los usuarios se conectan en ella para tener acceso a las oficinas.
Todo correcto, hasta que tuvimos la necesidad de crear otro vpn ipsec para conectar con una IP específica (192.168.x.x) publicada en otras instalaciones.
Entonces en mi VPN -IPsec-tunnel tengo
VPN_1:
(LAN)(10.34.x.x) Con un rango de asignación de IP de 10.34.x.1 al 10
VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
En Policy y Object
Objects -Addresses
1- Name (ippublic) -Type (subnet) -Details (192.168.x.x)- Interface (Any)
2- Name (VPNRange) -Type (Iprange) -Details (10.34.x.1-10.34.x.10)- Interface (Any)
Policy-IPv4
1-De Internal to VPN_2 origen VPNrange destino Ippublic service All action accept NAt DISABLE.
2-De VPN_2 to Internal Origen IPpublic destina Iprange service All action accept NAt DISABLE.
EN cada ordenador que se quiere conectar a esta Ippublicada he puesto una ruta persistente en la que sale por la ip interna de la VPN .
Ejemplo : route -p add 192.168.x.x mask 255.255.255.0 10.34.x.x
El caso es que conectado desde red lan de las oficinas si que el routeo funciona puedes conectar con la Ippublicada , cuando haces un tracert a las Ippubliada 192.168.x.x sale por la 10.34.x.x , pero cuando te conectas con el forticlient con la VPN_1 y te asigna una Ip del rango de LAN . Al hacer un tracert se pierde y no conecta con la Ippublicada.
Tengo que hacer algún routeo estático en el fortigate? o alguna política para que termine de conectar?para que cuando se conecten por la VPN1 que es la que conecta a las oficinas puedan llegar ala Ippublicada.
Gracias de antemano , si necesitan mas info se las puedo facilitar.
Última edición por Pam18 el 17 Ene 2019, 09:56, editado 1 vez en total.
Re: Conexión entre VPNs
Hola,
Para empezar puedes correr este comando via el CLI y tener una idea de como el trafico esta siendo redirigido y luego puedes pasar al tema de ver la prioridad de las rutas:
get router info routing-table all
Saludos.
Para empezar puedes correr este comando via el CLI y tener una idea de como el trafico esta siendo redirigido y luego puedes pasar al tema de ver la prioridad de las rutas:
get router info routing-table all
Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Conexión entre VPNs
Hola quiero agregar otra cosilla ,
Cuando me conecto con el forticlientc desde casa a la VPN_1 que conecta a la LAN de oficinas , hago un ipconfig y veo que me asigna Ip del rango que he puesto por ejemplo la 10.34.x.2 pero no me asigna Puerta de enlace .
Ejemplo se queda así :
Wifi :
Ipv4:192.168.0.101
Mascara:255.255.255.0
puerta de enlace: 192.168.0.1
Eth2 Forticlien
Ipv4: 10.34.x.2
Mascara:255.255.255.0
Puerta de enlace: NADA DEJA EL ESPACIO EN BLANCO
Esto es lo que me parece raro, debería asignar la puerta de enlace del fortigate ya sea la de la ip interna o la publica .COmo arreglo esto ?
En cuanto al trafico , ejecute el comando en el CLI
Y me ha dado la siguiente info que veo correcta
C 10.34.x.0/24 is directly connected, internal1
S 10.34.x.1/32 [15/0] is directly connected, VPN_1 (el rango de Ip asignada )
S 192.168.x.0/24 [10/0] is directly connected, VPN_2 ( que es la Ippublicada )
En este caso pregunto , ¿deberia haber una conexion entre VPN_1 y VPN_2 ???
Gracias ,
Cuando me conecto con el forticlientc desde casa a la VPN_1 que conecta a la LAN de oficinas , hago un ipconfig y veo que me asigna Ip del rango que he puesto por ejemplo la 10.34.x.2 pero no me asigna Puerta de enlace .
Ejemplo se queda así :
Wifi :
Ipv4:192.168.0.101
Mascara:255.255.255.0
puerta de enlace: 192.168.0.1
Eth2 Forticlien
Ipv4: 10.34.x.2
Mascara:255.255.255.0
Puerta de enlace: NADA DEJA EL ESPACIO EN BLANCO
Esto es lo que me parece raro, debería asignar la puerta de enlace del fortigate ya sea la de la ip interna o la publica .COmo arreglo esto ?
En cuanto al trafico , ejecute el comando en el CLI
Y me ha dado la siguiente info que veo correcta
C 10.34.x.0/24 is directly connected, internal1
S 10.34.x.1/32 [15/0] is directly connected, VPN_1 (el rango de Ip asignada )
S 192.168.x.0/24 [10/0] is directly connected, VPN_2 ( que es la Ippublicada )
En este caso pregunto , ¿deberia haber una conexion entre VPN_1 y VPN_2 ???
Gracias ,
Re: Conexión entre VPNs
Hola,
Una vez conectado a la vpn puedes correr desde windows el siguiente comando para validar la tabla de enrutamiento donde te fijaras que el trafico saliente estaría siendo redirigido hacia la vpn:
netstat -r
Si creas una conexión/política de acceso entre VPN_1 y VPN_2 lo que brindaras es acceso al trafico entre VPN´s.
Si compartes un diagrama seria excelente, y así posiblemente se te pueda recomendar una forma mas practica o rectificar la actual.
Saludos.
Una vez conectado a la vpn puedes correr desde windows el siguiente comando para validar la tabla de enrutamiento donde te fijaras que el trafico saliente estaría siendo redirigido hacia la vpn:
netstat -r
Si creas una conexión/política de acceso entre VPN_1 y VPN_2 lo que brindaras es acceso al trafico entre VPN´s.
Si compartes un diagrama seria excelente, y así posiblemente se te pueda recomendar una forma mas practica o rectificar la actual.
Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Conexión entre VPNs
Buenas ,.
Con el netstat -r me indica que la ippublicada debe salir por la Ip interna del forti . Te voy a enviar el diagrama pero por mensaje privado.
Pero seria eso un trafico entre VPN´s es lo que creo que necesito.
Con el netstat -r me indica que la ippublicada debe salir por la Ip interna del forti . Te voy a enviar el diagrama pero por mensaje privado.
Pero seria eso un trafico entre VPN´s es lo que creo que necesito.
Re: Conexión entre VPNs
Hola,
Como recomendación para que evites confusiones lo mejor seria que en la segunda VPN manejes un direccionamiento diferente, noto que en ambos VPN manejas 10.34.91.0/24
Empecemos por ahi y nos comentas.
Saludos.
Como recomendación para que evites confusiones lo mejor seria que en la segunda VPN manejes un direccionamiento diferente, noto que en ambos VPN manejas 10.34.91.0/24
Empecemos por ahi y nos comentas.
Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Conexión entre VPNs
Disculpa , como no voy a poner la red interna . Ambas deben conectarse a ella (10.34.91.0/24)
Ese es nuestro punto en común.
Ese es nuestro punto en común.
Re: Conexión entre VPNs
Hola,
Mencionas lo siguiente:
VPN_1:
(LAN)(10.34.x.x) Con un rango de asignación de IP de 10.34.x.1 al 10
VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
Es decir esas son las LAN que asignas mediante cada VPN, usas el mismo segmento, en lo personal prefiero colocar diferentes segmentos y asi mantener el enrutamiento por VPN diferenciado.
Saludos.
Mencionas lo siguiente:
VPN_1:
(LAN)(10.34.x.x) Con un rango de asignación de IP de 10.34.x.1 al 10
VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
Es decir esas son las LAN que asignas mediante cada VPN, usas el mismo segmento, en lo personal prefiero colocar diferentes segmentos y asi mantener el enrutamiento por VPN diferenciado.
Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5
Re: Conexión entre VPNs
Disculpa que tenia este tema parado,.
es decir que de la VPN 2 que esta en el mismo forti60D (el que estoy configurando ):
de esto
La vpn 2 es la que conecta solo a un rango de IP de la LAn ( de la 10.34.91.131 to 140) a esa IP publica .
*Cosa que hace solo cuando estamos en oficinas , si te conectas con el forticlient o "VPN1" desde fuera no conectas . Y ese es mi gran problema.
Para no hacerte el cuento mas largo : Necesito acceder a la IP 192.168.x.x en esta publicada en la fase 2 de la VPN_2
Saludos,
es decir que de la VPN 2 que esta en el mismo forti60D (el que estoy configurando ):
de esto
quito la Fase 2 (lo que esta ne negrita.VPN_2:
( VPN_IP_public)(195.242.x.x) tengo en la Phase 2 local address 10.34.x.x a remote address 192.168.x.x (que es la IP publicada en las otras instalaciones)
La vpn 2 es la que conecta solo a un rango de IP de la LAn ( de la 10.34.91.131 to 140) a esa IP publica .
*Cosa que hace solo cuando estamos en oficinas , si te conectas con el forticlient o "VPN1" desde fuera no conectas . Y ese es mi gran problema.
Para no hacerte el cuento mas largo : Necesito acceder a la IP 192.168.x.x en esta publicada en la fase 2 de la VPN_2
Saludos,
Re: Conexión entre VPNs
Hola,
Una consulta que version de FortiOS utilizas?, cuando creaste la vpn usaste el wizard o las hiciste manual.
En caso utilizaste el wizard el ruteo de la vpn es basado en ruta y ocupas una politica para enviar y otra para recibir el trafico (two policies), si lo hiciste manual el ruteo es basado en politica y solamente ocupas una politica con el ipsec habilitado mediante esta politica envia y recibe el trafico de forma bidireccional.
De esto depende para entender un poco como permitirás el trafico desde la vpn que no conecta hacia la ip publicada.
Saludos.
Una consulta que version de FortiOS utilizas?, cuando creaste la vpn usaste el wizard o las hiciste manual.
En caso utilizaste el wizard el ruteo de la vpn es basado en ruta y ocupas una politica para enviar y otra para recibir el trafico (two policies), si lo hiciste manual el ruteo es basado en politica y solamente ocupas una politica con el ipsec habilitado mediante esta politica envia y recibe el trafico de forma bidireccional.
De esto depende para entender un poco como permitirás el trafico desde la vpn que no conecta hacia la ip publicada.
Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall
NSE4
NSE5
NSE4
NSE5