Acceso a dos interfaces usando vpn ssl

[amiguel]

Hola, ya siento ser pesado, dos preguntas en una mañana...
Tengo montada la ssl vpn y desde la web hago diferentes conexiones rdp y vnc a una serie de máquinas, hasta ahí todo funciona bien, siempre que las máquinas esten dentro de la subred de la interface "internal", que es contra la que tenemos montado el SSL.
Mis problemas vienen cuando quiero acceder a máquinas a las que se llega por otra interfaz.
Creo que me estoy explicando bastante mal xD la cosa es que tenemos dos sedes diferentes, una la tenemos sobre la red internal y otra sobre la DMZ 2, luego hay unas políticas que hacen que estas dos "sedes" se vean entre ellas, así como unas route policy que hace que dependiendo a donde vaya el tráfico salga por un sitio o por otro.
Entiendo que desde la VPN que está entrando al interface "internal", no puedo acceder a equipos a los que debería salir por la interface DMZ2, la pregunta es si hay alguna manera de conseguir que se pueda llegar, bien con virtual ip o algo así.

Un saludo y gracias.

[gabyrossi]

hola, como estas? si tienen que acceder por dmz, tendras qu haber una politica que autentica el grupo ssl hacia la dmz y luego si es necesario la politica de ssl.root hacia la dmz.
SI tenes un roouter del otro lado, tendras que rutear la red del ssl (si es que es otra distinta a la interna tuya) para que sepa por donde volver (fortigate). Tambien podrias naterar la poltiica de ssl.root a dmz.

saludos

[amiguel]

No es una DMZ propiamente dicha, sino que utilizo la DMZ2 como segunda interfaz internal por decirlo de alguna manera.
A ver si me explico mejor. Tenemos una solución de telefónica llamada Macrolan que además hace VPN adsl, por lo que es como si tuviéramos una gran LAN entre nuestras diferentes sedes físicas, eso es trasparente para nosotros ya que lo hace telefónica.
Pero para llevar un mejor control de la sede principal tenemos el Fortigate en medio, con lo que la cosa queda más o menos así.

Solución Telefónica/Macrolan --> DMZ2 --> FORTIGATE <-- Internal <-- Red interna
La parametrización ip sería:

192.168.1.253 (Router Cisco 800 telefonica) -- 192.168.1.1 (Interfaz DMZ2 FG) || 192.168.100.253 (Interfaz Internal)

Tenemos creadas una política all / all en ambos sentidos entre ambas interfaces.

Luego tenemos unas policy route que dicen que a las redes que corresponden a la solución macrolan salga a través de la DMZ 2
Incoming interface Internal Source 0.0.0.0 / Destination 192.168.8.0/24 --> Force traffic to DMZ2 192.168.1.1

La VPN SSL está montada con interfaz destino Internal y por ahora sólo en modo web, por lo que no tengo configurado nada en el ssl.root; lo que quiero es poder acceder a equipos que están en la solución Telefónica/macrolan desde la VPN SSL. Por ahora a los que están en la red Internal no tengo problemas para acceder.

[gabyrossi]

Hola y a donde mas necesiats entrar ????? llegas a la red interna 192.168.100.x (Interfaz Internal) y cual mas falta?

porque el diagrama que pasas no veo otras redes mas?^tenes algun grafico?
saludos

[amiguel]

A la red interna si que llego, a donde quiero llegar es a la 192.178.8.X, pero para ello tengo que salir por la DMZ2, no por la internal ya que es donde está ubicado eso.

Adjunto imagen a ver si queda algo más claro.

Un saludo y gracias por la ayuda.

[gabyrossi]

hola, como estas?
tenes que tener una politica desde la wean hacia la dmz, autenticado al gupo vpn ssl y con destino la red deseada.
luego una politica de ssl.root hacia la dmz, con destino la red deseada. si queres podes natearla a esta politica.
en el router 192.1681.1 , endra que haber una ruta para que la red sssl, vuelva por la ip de la interface 1.253.

saludos

[amiguel]

Hola, sigo sin ser capaz, ¿Puede influir en algo que el IP POOL de la config del SSL utilize ip rango 192.168.100.X, es decir el mismo rango que tenemos definido en estos momentos en la red internal?

Te dejo otra imagen esta vez con las políticas, a ver que estoy haciendo mal.

Un saludo y gracias

[gabyrossi]

Hola, si seguro. cambai el ip pool por una red totalmente distinta.
las poltiicas estarian bien, no ve3o la de ssl.root hacia la internal.

la ruta estatica esta?
saludos

[amiguel]

Hola, muchísimas gracias por las respuestas.
Ya cambié el IP POOL pero nada, no tenía política creada de ssl.root a internal pero conseguía llegar a la red.
No tengo ninguna ruta estática para el ssl.root, ¿tiene que haber?

Saludos

[gabyrossi]

Hola, si necesitas una ruta estatica

Static Route
Destination Network <ssl assigned subnet> -> el destino sera el pool que pusiste en la vpn ssl
Destination Interface <ssl.root> -> la interafce ssl.root
distance: <menor a la distancia de la wan>

saludos

[amiguel]

Hola, muchas gracias por responder, con todo lo que me estas ayudando he conseguido que todo funcione correctamente en modo tunel, con el cliente SSL tengo conexión a todos los sitios.
Pero desde la web sigo sin poder acceder a destinos que están en la DMZ2, curiosamente si tengo conexión al 192.168.1.1 que es donde está el router que está en medio, pero de ahí no paso a las redes destino, no se si me tendra que configurar algo telefonica en los routers, porque el caso es que en modo tunel funciona todo correctamente.

Nuevamente muchísimas gracias por tu ayuda.

[gabyrossi]

hola, como estas? o nateas las politicas hacia la red interna (politicasd de vpn ssl) o en el router ruteas la nueva red (pool de la vpn ssl) hacia el fortigate.

saludos

[amiguel]

Hola, nuevamente gracias por tu ayuda.
Esta vez creo que no te entendi, como dije en modo tunel todo me funciona pero desde la web no llego a los equipos que tenemos en las VPN ADSL.
Hable con telefónica y no creen que el problema este en que sus routers no sean capaces de hacer la vuelta a la red origen, sino que creen que el problema esta en el forti.

Aquí me surge una duda; ¿Como se comporta el Web SSL, es decir cuando te conectas por web ssl también te asocia una ip del pool SSL_VP, la misma que se usa en modo tunel? ¿o hace otra cosa diferente?

Si me conecto en modo tunnel veo en el monitor de vpn la ip que me ha asignado, pero si lo hago a través de web sólo tengo el origen (mi dirección de internet 80.X.X.X).

Un saludo y gracias por tu paciencia

[gabyrossi]

Hola, en modo web o portal no tenes ip, solo usas los protocolos que tenes para usar (http, ftp,vnc,rdp,ssht,telnet).
todo hacelo por ip.

si llegas en modo tunnel por web (navegador) deberias ser mas facil.

saludos

[amiguel]

Entonces puede que sea porque no cojo la ip.

Para que me funcionara en modo tunel, añadí una policy route que hace que algunas direcciones salgan por la dmz2 y no por la internal, es decir

Tengo las politicas ssl.root -> Internal y ssl.root -> dmz2 y las de vuelta internal -> ssl.root y dmz2 -> ssl.root y además tengo internal -> dmz2 y dmz2 -> a internal. Además de dos políticas con action SSL VPN para wan2 -> internal y wan2 -> dmz2

La ip de los clientes vpn queda en 10.254.254.[100-150]

Para los destinos 192.168.100.X tengo que utilizar la interfaz internal.

Para los destinos 192.168.0.X y 192.168.8.X tengo que utilizar la interfaz DMZ2.

Para ello cree unas policy routes

Incoming interface: ssl.root
Source: 0.0.0.0/0.0.0.0
Destination: 192.168.0.0/255.255.255.0
Force traffic to
Outgoing interface: dmz2
Gateway: 192.168.1.1

Pero claro, entiendo que esto me lo hace para la interface ssl.root, es decir para la vpn ssl en modo tunnel, no la que es en modo web; ¿como le indico a la modo web que según que destinos tiene que ir por un sitio o por otro?

Gracias por todo.