Redirigir tráfico por IPSEC modo tunel

Para temas relacionados con el enrutamiento (estatico, basado en politicas, RIP, OSPF,...)
Cerrado
hook69
Mensajes: 18
Registrado: 25 Feb 2016, 13:00

Redirigir tráfico por IPSEC modo tunel

Mensaje por hook69 »

Hola, tengo una IPSEC en modo tunel levantada, que no me redirige el tráfico de mi red a través de ella al destino.
Si desde el forti 50e hago un telnet a la máquina remota, se conecta sin problemas, pero si lo hago desde mi equipo, no llega.
La cosa es que la VPN tiene un NAT en mi lado, que hace que me identifique en el remoto con la IP de mi PEER. En principio , con eso no hay problemas.
Al haber diferencias al crear las ipsec en modo interfaz y modo tunel, ando perdido puesto que no puedo añadir una ruta estatica para que me redirija el tráfico a través de la interfaz de ipsec que se habría generado (no existe). Leyendo, veo que hay que hacerlo con políticas.

Me podríais echar una mano?

como creo una politica de enrutado?
Yo tengo creada esta, pero veo que no es suficiente/incorrecta

Código: Seleccionar todo

FortiGate-50E # config firewall policy

FortiGate-50E (policy) # edit 8

FortiGate-50E (8) # get
policyid            : 8
name                : TUNEL_VPN_DESTINO
srcintf             : "lan"
dstintf             : "wan1"
srcaddr             : "LAN_INTERNA"
dstaddr             : "VPN_DESTINO_Group"
internet-service    : disable
internet-service-src: disable
reputation-minimum  : 0
rtp-nat             : disable
action              : ipsec
status              : enable
schedule            : always
schedule-timeout    : disable
service             : "ALL"
tos-mask            : 0x00
anti-replay         : enable
utm-status          : disable
inspection-mode     : flow
logtraffic          : utm
logtraffic-start    : disable
session-ttl         : 0
vlan-cos-fwd        : 255
vlan-cos-rev        : 255
wccp                : disable
fsso                : disable
natip               : ---.---.---.--- 255.255.255.255 <--- IP de mi peer con la que hago el nat
diffserv-forward    : disable
diffserv-reverse    : disable
tcp-mss-sender      : 0
tcp-mss-receiver    : 0
comments            :
block-notification  : disable
custom-log-fields   :
replacemsg-override-group:
srcaddr-negate      : disable
dstaddr-negate      : disable
service-negate      : disable
timeout-send-rst    : disable
captive-portal-exempt: disable
ssl-mirror          : disable
ssl-mirror-intf     :
dsri                : disable
radius-mac-auth-bypass: disable
delay-tcp-npu-session: disable
vlan-filter         :
profile-protocol-options: default
ssl-ssh-profile     : no-inspection
traffic-shaper      :
traffic-shaper-reverse:
per-ip-shaper       :
inbound             : enable
outbound            : enable
natinbound          : disable
natoutbound         : enable
vpntunnel           : VPN_DSTINO
match-vip           : disable


gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Redirigir tráfico por IPSEC modo tunel

Mensaje por gabyrossi »

hola, porque la hiciste modo tunel?
es mejor modo interfacem ta que podes rutear mas facilemnte las sesiones y podes manejar politica de ida y vuelta mas facil.


saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
hook69
Mensajes: 18
Registrado: 25 Feb 2016, 13:00

Re: Redirigir tráfico por IPSEC modo tunel

Mensaje por hook69 »

gabyrossi escribió: 03 Jul 2019, 20:53 hola, porque la hiciste modo tunel?
es mejor modo interfacem ta que podes rutear mas facilemnte las sesiones y podes manejar politica de ida y vuelta mas facil.


saludos.
lo se lo se, pero teléfonica me obliga a hacerlo en modo tunel.
Y no tengo ni idea de como hacer que mi red llegue al otro lado.
Me da la sensación de que la red mia no sale en el otro lado identificandose con la IP de mi PEER. Por eso no consigo llegar.
Avatar de Usuario
makco10
Mensajes: 1345
Registrado: 03 Jun 2011, 19:42
Ubicación: Honduras
Contactar:

Re: Redirigir tráfico por IPSEC modo tunel

Mensaje por makco10 »

Hola,

No estaria de mas realices un debug flow del lado donde no llegas con el source de tu equipo y asi validar como el fortigate trata el paquete y hacia donde lo dirige: [Debes identificarte para poder ver enlaces.]

Veo que tu VPN es basada en politica, tambien prefiero en modo interface es mas flexible, te comparto algunos ejemplos de ambos escenarios para que confirmes que tienes la configuracion segun las mejores practicas:

Basado en politica: [Debes identificarte para poder ver enlaces.]

Basado en ruta: [Debes identificarte para poder ver enlaces.]

Saludos.
Defend Your Enterprise Network With Fortigate Next Generation Firewall

NSE4
NSE5
hook69
Mensajes: 18
Registrado: 25 Feb 2016, 13:00

Re: Redirigir tráfico por IPSEC modo tunel

Mensaje por hook69 »

makco10 escribió: 05 Jul 2019, 16:35 Hola,

No estaria de mas realices un debug flow del lado donde no llegas con el source de tu equipo y asi validar como el fortigate trata el paquete y hacia donde lo dirige: [Debes identificarte para poder ver enlaces.]

Veo que tu VPN es basada en politica, tambien prefiero en modo interface es mas flexible, te comparto algunos ejemplos de ambos escenarios para que confirmes que tienes la configuracion segun las mejores practicas:

Basado en politica: [Debes identificarte para poder ver enlaces.]

Basado en ruta: [Debes identificarte para poder ver enlaces.]

Saludos.
Gracias. Lo miro y os cuento
hook69
Mensajes: 18
Registrado: 25 Feb 2016, 13:00

Re: Redirigir tráfico por IPSEC modo tunel

Mensaje por hook69 »

Al final he podido resolverlo, pero pidiendo que lo levantaran como interface. No entiendo porque no se aplican las best practices.....
Así que todo resuelto.

Gracias no obstante por vuestra ayuda.

saludos.
Cerrado