SSLVPN + SDWAN (Solo deja conectar por solo uno de los 2 canales wan)

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Cerrado
Mauricioddb
Mensajes: 5
Registrado: 20 Ago 2014, 18:49

SSLVPN + SDWAN (Solo deja conectar por solo uno de los 2 canales wan)

Mensaje por Mauricioddb »

Hola A todos, espero que estén pasando un tranquilo confinamiento. (quienes tengan la oportunidad de hacerlo claro esta)
Tengo la siguiente situación.
He con figurado mi Fortigate 80E la SDWAN solo con el objetivo de tener redundancia en mis canales de internet, en caso de uno de los canales caiga o se sature está el otro de respaldo. esto esta funcionando correctamente, sin embargo cuando quiero configurar el acceso SSLVPN solo puedo hacerlo por 1 de las 2 interfaces WAN, es decir una de las IP publicas no me conecta al VPN (mi wan principal)

Al momento de configurar tengo que agregar cada una de mis interfaces wan
Capture.PNG
ya que si trato de agregar la interface sd wan me arroja el error : Entry not found
Capture2.PNG

por lo que dejo las 2 interfaces WAN para poder acceder por medio de las 2 IPs públicas.
teniendo en cuenta lo que me muestra la configuración y siguiendo mi lógica, debería dejar conectar a la VPN por medio de cualquiera de dichas direcciones IP.
pues resulta que no, solo me deja conectar por la WAN2.

LA regla de firewall no debería ser, ya que la "incoming interface" tiene la "SSL-VPN TUNEL INTERFACE" lo cual indica que no estoy discriminando ninguna de las WAN.

por otro lado, las interfaces están bien configuradas, las 2 tienen el acceso Https habilitado. por lo que no se que puede ser.
interfaces.PNG
Agradezco a quien me pueda orientar
Saludos.
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.

Avatar de Usuario
makco10
Mensajes: 1150
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: SSLVPN + SDWAN (Solo deja conectar por solo uno de los 2 canales wan)

Mensaje por makco10 »

Hola,

Recuerda personalizar el puerto de conexión de la VPN SSL en lugar HTTPS coloca 10443 o cualquier otro puerto no utilizado.

Como lo mencionas deberia de funcionarte, incluso asi lo recomienda Fortinet: https://kb.fortinet.com/kb/documentLink ... ID=FD37696

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Avatar de Usuario
gabyrossi
Mensajes: 10846
Registrado: 30 Oct 2007, 19:47

Re: SSLVPN + SDWAN (Solo deja conectar por solo uno de los 2 canales wan)

Mensaje por gabyrossi »

Mauricioddb escribió: ↑
24 Jun 2020, 20:11
Hola A todos, espero que estén pasando un tranquilo confinamiento. (quienes tengan la oportunidad de hacerlo claro esta)
Tengo la siguiente situación.
He con figurado mi Fortigate 80E la SDWAN solo con el objetivo de tener redundancia en mis canales de internet, en caso de uno de los canales caiga o se sature está el otro de respaldo. esto esta funcionando correctamente, sin embargo cuando quiero configurar el acceso SSLVPN solo puedo hacerlo por 1 de las 2 interfaces WAN, es decir una de las IP publicas no me conecta al VPN (mi wan principal)

Al momento de configurar tengo que agregar cada una de mis interfaces wan
Capture.PNG

ya que si trato de agregar la interface sd wan me arroja el error : Entry not found
Capture2.PNG


por lo que dejo las 2 interfaces WAN para poder acceder por medio de las 2 IPs públicas.
teniendo en cuenta lo que me muestra la configuración y siguiendo mi lógica, debería dejar conectar a la VPN por medio de cualquiera de dichas direcciones IP.
pues resulta que no, solo me deja conectar por la WAN2.

LA regla de firewall no debería ser, ya que la "incoming interface" tiene la "SSL-VPN TUNEL INTERFACE" lo cual indica que no estoy discriminando ninguna de las WAN.

por otro lado, las interfaces están bien configuradas, las 2 tienen el acceso Https habilitado. por lo que no se que puede ser.
interfaces.PNG

Agradezco a quien me pueda orientar
Saludos.

Hola, revisa por cli. ya que muchas veces tener que setear las interfaces (ambas wan) por cada grupo de usuario que habilitaste

ejemplo:

config vpn ssl settings
set source-interface "wan1" "wan2"
config authentication-rule

edit 1

set groups "vpn.g1"

set portal "ssl.g1"
set source-interface "wan1" "wan2"
next
edit 12
set groups "vpn.g2"

set portal "ssl.g2"
set source-interface "wan1" "wan2"
next
end
end
end
NSE 5 - 6.0 - Fortinet - Network Security Analyst
FCNSP - FCNSA -

Mauricioddb
Mensajes: 5
Registrado: 20 Ago 2014, 18:49

Re: SSLVPN + SDWAN (Solo deja conectar por solo uno de los 2 canales wan)

Mensaje por Mauricioddb »

Gracias por las respuestas, he encontrado lo que ocasionaba el problema
Tengo algunas VIRTUALIPs configuradas, las cuales venían de la wan1 usando el puerto 443 así como el 22. con lo que al tratar de conectarme al VPN me estaba haciendo port forwarding hacia una dirección interna que ni siquiera tenía un dispositivo conectado, de ahí el por que de que no daba respuesta.

he cambiado el "external service port" a 5443 y a 522 de dichas VIRTUALIPs con lo cual ya no genera conflicto, y la conexión ahora en vez de hacer port forwarding conecta directamente a la VPN por cualquiera de las interfaces WAN.

Pdta. He cambiado el puerto de administración del fortigate, con lo cual puedo usar el 443 para ssl vpn.
Saludos.

Avatar de Usuario
makco10
Mensajes: 1150
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: SSLVPN + SDWAN (Solo deja conectar por solo uno de los 2 canales wan)

Mensaje por makco10 »

Excelente.

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

Cerrado