VPN SSL + LDAP

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Responder
francis@cpsi.es
Mensajes: 9
Registrado: 12 Sep 2016, 13:29

VPN SSL + LDAP

Mensaje por francis@cpsi.es »

Buenos días,
Tenemos configurado la autenticación LDAP contra nuestro AD.
Iniciamos Forticlient con un usuario del AD sin problemas.
Tenemos un regla firewall para el mismo usuario del AD y no funciona.
Usamos la misma regla para un usuario local del Fortigate y funciona sin problemas.
Alguna sugerencia.
Gracias.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN SSL + LDAP

Mensaje por makco10 »

Hola,

Cuando indicas que la regla no funciona, es acceso a internet, acceso a una vlan interna, brinda mas detalles.

Tambien ayuda saber que version de FortiOS utilizas en el FGT.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
francis@cpsi.es
Mensajes: 9
Registrado: 12 Sep 2016, 13:29

Re: VPN SSL + LDAP

Mensaje por francis@cpsi.es »

Hola Makco10,
La versión de FortiOS es FG200D-5.6.3-FW-build1547-171204
La regla es para acceso de Forticlient a la LAN interna.
Levantando el forticlient con el usuario LDAP y configurando la regla para que tenga como origen dicho usuario la regla no funciona, en cambio, si levanto forticlient con el usuario local y configuro la misma regla como origen el usuario local si funciona.
Ambos usuarios usan el mismo portal ssl-vpn.
Gracias.
Saludos.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN SSL + LDAP

Mensaje por gabyrossi »

Hola, cuando decis no funciona que es? Pide user y pass pero no valida ? o no hace nada?

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
francis@cpsi.es
Mensajes: 9
Registrado: 12 Sep 2016, 13:29

Re: VPN SSL + LDAP

Mensaje por francis@cpsi.es »

Hola Gabyrossi,
Cuando digo que no funciona me refiero a que la regla no actúa el contador de bytes es 0, en cambio si uso el usuario local la regla sin funciona.
El sistema solo pide credenciales para iniciar forticlient posteriormente lo único que se hace es un simple ping a una IP de la red interna.
Gracias.
Un saludo.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: VPN SSL + LDAP

Mensaje por gabyrossi »

hola, para que funcione una autenticacion en una politica tienes que probar de auteticar la policy en un protocolo autenticable peude set telnet, ftp, http,https

seguramente con el suer local ya se autentico en otra politica
ping no te va a servir
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
francis@cpsi.es
Mensajes: 9
Registrado: 12 Sep 2016, 13:29

Re: VPN SSL + LDAP

Mensaje por francis@cpsi.es »

Hola, no se si logro comprenderte. Cuando la política funciona con el usuario local, esa es la única de todo el listado de politicas donde hace referencia ese usuario local no hay otra que lo comprometa. Mi duda es porque con ese usuario local si funciona y si lo edito y pongo el usuario LDAP no funciona como si no existiera.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN SSL + LDAP

Mensaje por makco10 »

Hola,

Entiendo lo que te pasa es que cuando el usuario se conecta a la VPN no navega a internet o no logra alcanzar los servicios internos de la red a la cual declaras y necesitas brindar el acceso.

¿Es asi? ¿O lo que pasa es que el usuario con LDAP ni siquiera te conecta?

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
francis@cpsi.es
Mensajes: 9
Registrado: 12 Sep 2016, 13:29

Re: VPN SSL + LDAP

Mensaje por francis@cpsi.es »

Hola Makco10,

El usuario ldap conecta con Forticlient autenticando directamente en el directorio activo, el problema es que la regla con origen forticlient+usuario ldap para llegar al servicio interno no la coge.

El usuario local conecta con Forticlient autenticando directamente en el Fortigate, y la misma regla anterior con origen forticlient+usuario local llega al servicio interno perfectamente.

En las reglas de firewall no hay mas reglas con origen que permitan el acceso de estos dos usuarios mediante forticlient.

Saludos.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN SSL + LDAP

Mensaje por makco10 »

Hola,

¿Puedes mostrar capturas de ambas politicas?

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
francis@cpsi.es
Mensajes: 9
Registrado: 12 Sep 2016, 13:29

Re: VPN SSL + LDAP

Mensaje por francis@cpsi.es »

Buenos días,
Adjunto dos imágenes de las dos regla con el usuario ldap y la misma con el usuario local.
Conectando por Forticlient con el usuario ldap uso la regla editando el usuario de origen y usando el mismo usuario ldap, como no funciona, para probar la regla la edito y cambio el usuario ldap por el usuario local y conecto con Forticlient con el usuario local y si funciona, haciendo un ping a la IP interna de una de mis centralitas.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: VPN SSL + LDAP

Mensaje por makco10 »

Hola,

En el selector de la VPN no seleccionas un usuario si no un grupo, telecomVPN es el usuario local o LDAP porque si es LDAP debes seleccionar el grupo en lugar del usuario.

Esto también porque la autenticación te esta funcionando, asi que debe ser algo de la politica.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
Responder