VPN IPSEC - LDAP

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

VPN IPSEC - LDAP

Mensaje por papachiro »

Buenos dias,

Os comento mi problema a ver si me pueden orientar, tengo una VPN IPSec entre dos sedes y hago validacion de usuarios en los FW para las conexiones.

Tengo configurado SD-WAN para las VPN. Ambos Sites cuentas con 2 lineas WAN, para estas pruebas solo esta habilitado 1 VPN.

Mi problema es el siguiente, cuando lanzo la consulta LDAP al DC01 (172.16.1.1) no llego pero sin embargo si ataco al DC02 (172.16.1.2) si que llego. Siempre desde el FW que no esta en la LAN de los DC. A efectos... la sede remota. En local funciona todo perfecto.

Mirando los LOGS veo que cuando hago la consulta al DC01 la ip origen es la publica mientras que si hago la consulta al DC02 la ip origen es la interna.

No entiendo porque me hace esto, si todo es la misma red de destino. Y como extra, si atacas desde cualquier PC a los DC por PING responden bien, solo me pasa cuando es el FW el que lanza la consulta.

A ver si pueden ayudarme, ya que no encuentro explicacion.

Gracias
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »

Hola,

¿No tendrás algún NAT que esté haciendo match?.

Lo otro, ¿cuando haces un dag sniff packet <interfaz_IPSec> ves pasar los paquetes hacia el AD que te da problemas?, ¿por lo que entendí, la comunicación del FG hacia los AD remotos la estás enrutado a través del tunel, correcto?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]


Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

Gracias por la respuesta.
No, en principio no tengo ningun nat.
Y a tu pregunta, es NO, no enruta el trafico por el tunel, lo sacar por la publica.

Correcto, la consulta la debe hacer el FW remoto a través de la VPN, funciona para el DC02 pero no para el DC01.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »


Si haces el sniffer a la interfaz IPSec ves pasar los paquetes LDAP hacia el DC02 y no al DC01 entonces, pero el tráfico hacia el DC01 lo está sacando por la interfaz WAN, ¿correcto?.

¿Y alguna ruta estática mal aplicada?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »

Podrías fijar el source-ip en la configuración del servidor LDAP DC01 para descartar.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

Correcto, veo los paquetes al DC02 pero no al DC01. Tengo SD-WAN en la VPN por lo que no tengo ruta estática, todo lo mando a la SD-WAN y ahi tengo las politicas para cada VPN.

No entiendo que quieres decir con source-ip en la configuracion del servidor.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »

En la configuración donde defines los servidores LDAP tienes que editar el apartado correspondiente al DC01 (donde especificaste la IP remota, el DN, etc) y fijarle la IP de origen con la que quieres que se presente hacia el DC01.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]


Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

vale, esa opcion es por consola entiendo, por el entorno web no lo veo. Voy a ver como se hace y te comento.
Gracias
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »

Si, ese tipo de settings sólo están disponibles a través del CLI. Fíjate en esto:

# config user ldap
    edit “<my-ldap-server>”

(Reemplazar my-ldap-server por el nombre que le asignaste al objeto)

set source-ip <IP>

This specifies which IP has to be used as the source of the packet when FortiGate contacts the LDAP server. As with other source-ip options in FortiOS configuration, this must be an IP of one of the FortiGate’s interfaces, arbitrary IPs are not allowed. Egress interface for the packets is decided based on the routing table.
This is typically configured when the LDAP server is reachable over an IPsec tunnel. By default, newly created IPsec tunnel interfaces do not have an IP address set. This can create an ambiguous situation (egress interface does not have an IP → unclear which source IP to use). Setting a source-IP in the LDAP server configuration is one way to resolve this ambiguity.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]



Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

vale, lo tengo pero ahora estoy flipando mas.

ya no lanza por la publica pero me enruta a por otro tunel de otro site. Es decir, la consulta al DC01 me la envia a (172.24.1.x) cuando la ip es 172.16.1.1 y sin embargo el DC02 172.16.1.2 lo hace bien.
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »

¿Pero qué parámetro IP aplicaste como source-ip?.

Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]

Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

source-ip el que me has indicado. de hecho lo hace bien, ya no lo intenta por la publica si no por la interna.
La IP que he puesto es la IP Interfaz del FW, GW de la red remota. Es correcto no?
AndresW
Mensajes: 452
Registrado: 09 Jun 2014, 17:05

Re: VPN IPSEC - LDAP

Mensaje por AndresW »

No, tienes que definir como source-ip una dirección local de ese firewall, no la del remoto donde están los DC01 y DC02.

Tiene que ser la misma IP con la que los paquetes llegan al DC02 cuando conversa con LDAP sin problemas.


Grupo de Telegram referente a FortiGate --> [Debes identificarte para poder ver enlaces.]


Saludos!

_____________________________________________________________

Grupo de Telegram referente a FortiGate --> https://t.me/FortiGate_es
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

Hola,

Finalmente desde el soporte tampoco me han sabido solucionar el problema. Me han recomendado bajar a la 6.4.4 debido a que no hay fecha para la 7.0 en el FW 201F.


Lo voy a dejar con las rutas estáticas tal y como hemos hablado.

Por cierto, el comando que indicabas que no encontrabamos, no se si te referias a esto :
config user ldap

edit <name>

set interface-select-method {auto | sdwan | specify}

set interface <interface>

next

end



Tampoco ha funcionado, probare a la 6.4.4 y te comentare a ver que tal.

Gracias por todo
papachiro
Mensajes: 12
Registrado: 14 May 2020, 12:08

Re: VPN IPSEC - LDAP

Mensaje por papachiro »

Os confirmo que con la 6.4.4 tampoco ha funcoinado.

Al final, con ruta estatica y todo correcto.
Responder