Acceder a datos de dos sedes conectadas con vpnipsec conectado con forticlient a una de ellas

Para temas referentes al uso del cliente VPN de Fortinet, el filtrado antivirus y la caracteristica de Firewall.
Responder
fortigate
Mensajes: 2
Registrado: 21 Oct 2021, 10:36

Acceder a datos de dos sedes conectadas con vpnipsec conectado con forticlient a una de ellas

Mensaje por fortigate »

Muy buenas,

Tengo dos sedes conectadas con una vpnipsec y rutas estáticas. Los usuarios se conectan mediante forticlient a cada una de las sedes pero tienen que conectarse y desconectarse a cada una de ellas cada vez que quieren acceder a los recursos. Querría poder configurar que puedan conectarse solamente a una de ellas, y estando conectados, acceder también a los recursos de la otra sede. Estoy probando con la políticas pero no encuentro la forma, al conectarme a una sede no tengo acceso a la otra.

Gracias.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Acceder a datos de dos sedes conectadas con vpnipsec conectado con forticlient a una de ellas

Mensaje por AndresW »

Hola,

No está funcionando puesto que te faltan configuraciones. Tienes 2 opciones para implementar lo que necesitas:

A) Agregar el segmento IP que asignas a los FortiClient a un Phase2 Selector nuevo (en el túnel entre ambas sedes) y permitir este en las políticas correspondientes. Esto debes hacerlo por cada uno de los FortiGate de manera cruzada.

B) Natear el tráfico saliente originado por el segmento IP de FortiClient en una IP de alguna red LAN que esté ya pasando a través del túnel IPsec, y esta permitirla en las políticas de firewall correspondientes.
*** Si utilizas esta, no es necesario agregar otro Phase 2 Selector.

Te recomiendo la primera (A) ya que es una solución más limpia y te da mayor visibilidad de quién (de acuerdo a la IP que le entregó la VPN móvil) accedió tal o cual recurso del otro lado del túnel.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
fortigate
Mensajes: 2
Registrado: 21 Oct 2021, 10:36

Re: Acceder a datos de dos sedes conectadas con vpnipsec conectado con forticlient a una de ellas

Mensaje por fortigate »

Muy buens AndresW,

Lo primero gracias por contestar.

He estado intentando la opción (A) y no hay manera que me levante el túnel del selector nuevo que he añadido. Lo he añadido con la misma configuracion del otro selector de phase 2 para la conexión de ipsec, esto es, con encriptación, autenticación, grupo diffie-Hellman etc. igual.
He añadido también la subred creada para los Forticlient como origen en la política existentes.
He hecho todo en los dos fortigate.

Gracias.
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Acceder a datos de dos sedes conectadas con vpnipsec conectado con forticlient a una de ellas

Mensaje por AndresW »

Entonces hay algún paso que no estás haciendo o bien haciendo mal. A través del CLI ejecuta el siguiente debug primero para ver por qué no está levantando el selector cuando intentas pasar tráfico desde un cliente de VPN:

diag debug console timestamp enable

diag vpn ike log-filter name <Nombre_del_Túnel>

diag debug app ike -1

diag debug enable

Luego que tengas la información, para detener y limipiar el filtro:

diag debug disable

diag debug reset

Con lo que te indique el debug podrás tener alguna idea de por qué no está funcionando.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
AndresW
Mensajes: 451
Registrado: 09 Jun 2014, 17:05

Re: Acceder a datos de dos sedes conectadas con vpnipsec conectado con forticlient a una de ellas

Mensaje por AndresW »

Revisa los pasos de este KB donde explican específicamente lo que estás intentando implementar:

[Debes identificarte para poder ver enlaces.]

Por cierto,

¿Configuraste la VPN móvil con Split Tunneling o le entregas un default a los clientes?.

si es así, ¿en el portal SSL declaraste dentro de Routing Address el segmento que está detrás del otro FortiGate y que los usuarios necesitan alcanzar?.
Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
Responder