Politicas por Usuario L2TP/IPSEC

Para temas sobre las VPN, incluyendo la configuración, resolución de problemas e interoperabilidad.
Responder
everest7
Mensajes: 29
Registrado: 10 Jul 2012, 18:37

Politicas por Usuario L2TP/IPSEC

Mensaje por everest7 »

Buenos dias sres del foro

Primeramente un afectuoso saludo.... en esta oportunidad les escribo porq estoy configurando una vpn L2TP/IPSEC ya puedo establecer el tunnel y conectarme, lo que quiero hacer es establecer politicas de acceso, es decir a traves de la politica permitir que ciertas usuarios tenga acceso a toda la red interna y usuarios como los proveedores solo accedan a un host o red especificada. en vista de que todos los usuarios estan en un grupo llamado VPN como hago para los que los usuarios de ese grupo tengan permisos diferentes. O si me recomiendan otro tipo de configuracion

Fortinet 300C v5.0

haciendo pruebas hice este Set pero el usuario MDEGUGLIELMO puede llegar a toda la red igual que Everest

Agradecido de antemano

Everest Aponte
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por Felipe »

Buenos días,

En ambas políticas estás aceptando el grupo entero. Debes crear grupos más pequeños que compartan las políticas. O bien si necesitas un granulado muy muy fino crear políticas por usuario.

Por ejemplo si quieres que sólo el usuario everest se vea afectado por la política 2.1 debes eliminar el grupo L2TP_VPN1 de la polítcia y dejar únicamente al usuario everest.

Espero que te sirva de ayuda. saludos.
everest7
Mensajes: 29
Registrado: 10 Jul 2012, 18:37

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por everest7 »

Buenas tardes Felipe

Primeramente gracias por tu recomendacion

Hice lo que me indicaste sin embargo no funciono la politica, solo funciona si es configurada como Direccion mas no como identidad de usuario, y de hecho en el grupo de VPN solo existen 3 usuarios Everest, MDEGUGLIELMO y Carlos. Pareciera que no manejara informacion del usuario.

Gracias
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por gabyrossi »

hola, porque no generas vpn ssl?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jcchamorroarias
Mensajes: 5
Registrado: 18 Abr 2017, 18:24

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por jcchamorroarias »

Buenas tardes Srs. del Foro, tengo el mismo inconveniente que Everest7, no se si han podido solucionarlo o no se puede realizar este tipo de politicas en L2tp/IPsec VPN.
En respuesta a porque no uso vpn ssl, simplente mi cliente no quiere usar forti client.

Gracias por su pronta respuesta.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por gabyrossi »

hola, revisaste estos links?

[Debes identificarte para poder ver enlaces.]
[Debes identificarte para poder ver enlaces.]

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
jcchamorroarias
Mensajes: 5
Registrado: 18 Abr 2017, 18:24

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por jcchamorroarias »

Gracias por la pronta respuesta, haciendo algunas pruebas verifico que si creo otro usuario y con otra politica, ya no puedo acceder con el usuario inicial, es decir, si me conecto con el usuario X si accedo a los hosts permitidos en la politica, pero si sumultaneamente intento conectarme con el usuario Y me sale un error. Tengo la impresion de que este tipo de conexion solo acepta una unica politica y a un unico grupo de usuarios pero no estoy seguro. Ademas de eso tengo otra consulta, no se si existe en L2TP/IPSEC la opcion que hay en SSL Split Tunneling.
jcchamorroarias
Mensajes: 5
Registrado: 18 Abr 2017, 18:24

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por jcchamorroarias »

Algo adicional, es que lo que se requiere es reemplazar el uso de VPN SSL por L2TP/IPSEC, sin embargo no se si L2TP funciona tal y como funciona SSL VPN.
jcchamorroarias
Mensajes: 5
Registrado: 18 Abr 2017, 18:24

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por jcchamorroarias »

Borre toda mi configuracion y volvi hacerla basado en este link
[Debes identificarte para poder ver enlaces.]
Se levanta la conexion, pero como la politica es de LAN a WAN, lo que hace es dar conectividad desde el fortigate hacia el host remoto. Intente crear una politica que me permita ir de WAN a LAN pero no es factible porque en VPN TUNNEL no me muestra ninguna opcion.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas por Usuario L2TP/IPSEC

Mensaje por gabyrossi »

hola, siempre es mejor ssl vpn ....
pero podrias armar la vpn en modo interface

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Responder