VPN con Usuarios de Active directory

Spartaco · Mensaje por **Spartaco** » 27 Sep 2011, 14:46

Estimados, quisiera su ayuda con un tema que tengo hace mucho rato ya. Tengo el siguiente problema, Tengo un Active Directory y un fortinet el cual lo debo de conectar con los usuarios del AD para la autenticacion.

Gracias a un usuario de este foro pude configurar gran parte, pero ahora tengo problemas para hacer la autenticacion. desde el fortinet tengo conectividad con el AD si hago un diagnose, pero si me conecto desde la wan no tengo conexion.

------- 192.168.1.X -------- 10.10.10.X --------- 172.16.1.X
Server --------------|______|-----------------|______|------------PC
(.254) .99 FW .1 .2 Router .1 .2

Ese es el lab con el que estoy probando antes de hacerlo en el real. desde el firewall tengo conectividad con el Router Cisco, desde el PC tengo conectividad con el FW y puedo ingresar por HTTPS apuntando a la 10.10.10.1, desde el FW tengo ping al Server y si hago un diagnose me sale OK.
Pero si trato de ingresar por VPNSSL al desde el PC con un usuario del AD por [Debes identificarte para poder ver enlaces.] no tengo ninguna respuesta al respecto.... me podrian ayudar con esto por favor...

adjunto las config.

Firewall
Ldapserver # sh firewall policy
config firewall policy
edit 1
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set nat enable
next
edit 2
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action ssl-vpn
config identity-based-policy
edit 1
set schedule "always"
set groups "LDAPVPNUsers"
set service "ANY"
next
end
next
edit 3
set srcintf "ssl.root"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ANY"
set logtraffic enable
next
end
Ldapserver # sh user group
config user group
edit "FSAE_Guest_Users"
set group-type directory-service
next
edit "Guest-group"
set member "guest"
next
edit "LDAPVPNUsers"
set sslvpn-portal "tunnel-access"
next
edit "SSLVPNUsers"
set sslvpn-portal "tunnel-access"
set member "serverLDAP"
config match
edit 1
set server-name "serverLDAP"
set group-name "CN=SSLVPNUsers,CN=Builtin,DC=prueba,DC=local
"
next
end
next
end

Ldapserver # sh user ldap
config user ldap
edit "serverLDAP"
set server "192.168.1.254"
set cnid "sAMAccountName"
set dn "DC=prueba,DC=local"
set type regular
set username "CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local"
set password ENC AAAAfADuzF7ON4W6OTDvSOtwa4Ym98H5oAtTeoLnq+aHqRIXgpGrHFI
8oXnccQpUltbjl9vcqaoTzzdEE+sP2yjK+hfhIMXkcpWA7+rpkRCQ5qNv
next
end

Ldapserver #

Ldapserver # diagnose test authserver ldap serverLDAP fortinet Passw00rd
authenticate 'fortinet' against 'serverLDAP' succeeded!
memberof - CN=SSLVPNUsers,CN=Builtin,DC=prueba,DC=local

De antemano muchas gracias por la ayuda que me puedan brindar

Mensaje por **gabyrossi** » 27 Sep 2011, 18:39

Hola,

en la policy 2 tiene que el otro grupo ssl.
edit 2
set srcintf "wan1"
set dstintf "internal"
set srcaddr "all"
set dstaddr "all"
set action ssl-vpn
config identity-based-policy
edit 1
set schedule "always"
set groups "LDAPVPNUsers" ----------> cambiar por:SSLVPNUsers
set service "ANY"
next
end
next
end
---------------------------

edit "SSLVPNUsers"
set sslvpn-portal "tunnel-access"
set member "serverLDAP"
config match
edit 1
set server-name "serverLDAP"
set group-name "CN=SSLVPNUsers,CN=Builtin,DC=prueba,DC=local
"
next
end

saludos

Spartaco · Mensaje por **Spartaco** » 28 Sep 2011, 22:35

Probe lo que me dices, pero aun nada

, lo que si estube investigando por internet y ejecute un debug y me arrojo lo siguiente:

esto lo ejecute desde el Firewall y pasa sin problemas

FW_LDAP # diagnose test authserver ldap serverLDAP fortinet Passw00rd
fnbamd_fsm.c[1010] handle_req-Rcvd auth req 26214402 for fortinet in serverLDAP
opt=27 prot=0
fnbamd_ldap.c[485] resolve_ldap_FQDN-Resolved address 192.168.1.254, result 192.168.1.254
fnbamd_ldap.c[234] start_search_dn-base:'DC=prueba,DC=local' filter:sAMAccountName=fortinet
fnbamd_ldap.c[1186] fnbamd_ldap_get_result-Going to SEARCH state
fnbamd_fsm.c[1322] poll_ldap_servers-Cont
fnbamd_ldap.c[268] get_all_dn-Found DN 1:CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local
fnbamd_ldap.c[282] get_all_dn-Found 1 DN's
fnbamd_ldap.c[316] start_next_dn_bind-Trying DN 1:CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local
fnbamd_ldap.c[1224] fnbamd_ldap_get_result-Going to USERBIND state
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 26214402
fnbamd_ldap.c[374] start_multi_attribute_lookup-Adding attr 'memberOf'
fnbamd_ldap.c[390] start_multi_attribute_lookup-base:'CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local' filter:cn=*
fnbamd_ldap.c[1278] fnbamd_ldap_get_result-Entering CHKUSERATTRS state
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 26214402
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 26214402
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 26214402
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 26214402
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 26214402
fnbamd_ldap.c[417] get_member_of_groups-Get the memberOf groups.
fnbamd_ldap.c[441] get_member_of_groups- attr='memberOf', found 1 values
fnbamd_ldap.c[448] get_member_of_groups-val[0]='CN=SSLVPNUsers,CN=Builtin,DC=prueba,DC=local'
fnbamd_ldap.c[1292] fnbamd_ldap_get_result-Auth accepted
fnbamd_ldap.c[1307] fnbamd_ldap_get_result-Going to DONE state res=0
fnbamd_auth.c[1543] fnbamd_auth_poll_ldap-Result for ldap svr 192.168.1.254 is SUCCESS
fnbamd_auth.c[1564] fnbamd_auth_poll_ldap-Skipping group matching
fnbamd_comm.c[112] fnbamd_comm_send_result-Sending result 0 for req 26214402
authenticate 'fortinet' against 'serverLDAP' succeeded!
memberof - CN=SSLVPNUsers,CN=Builtin,DC=prueba,DC=local

Lo que viene a continuacion lo ejecute desde la VPN y vi que las ultimas dos lineas no me aparecen y vi las politicas pensando que era eso y no, estoy permitiendo todo hacia todos lados.

FW_LDAP # fnbamd_fsm.c[1010] handle_req-Rcvd auth req 15138853 for fortinet in LDAPVPNUsers opt=256 prot=9
fnbamd_auth.c[228] radius_start-Didn't find radius servers (0)
fnbamd_auth.c[582] auth_tac_plus_start-Didn't find tac_plus servers (0)
fnbamd_ldap.c[485] resolve_ldap_FQDN-Resolved address 192.168.1.254, result 192.168.1.254
fnbamd_ldap.c[234] start_search_dn-base:'DC=prueba,DC=local' filter:sAMAccountName=fortinet

fnbamd_ldap.c[1186] fnbamd_ldap_get_result-Going to SEARCH state
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[268] get_all_dn-Found DN 1:CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local

fnbamd_ldap.c[282] get_all_dn-Found 1 DN's
fnbamd_ldap.c[316] start_next_dn_bind-Trying DN 1:CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local
fnbamd_ldap.c[1224] fnbamd_ldap_get_result-Going to USERBIND
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[374] start_multi_attribute_lookup-Adding attr 'memberOf'
fnbamd_ldap.c[390] start_multi_attribute_lookup-base:'CN=Fortinet LDAP,CN=Users,DC=prueba,DC=local' filter:cn=*

fnbamd_ldap.c[1278] fnbamd_ldap_get_result-Entering CHKUSERATTRS state
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[1096] fnbamd_ldap_get_result-Not ready yet
fnbamd_fsm.c[1322] poll_ldap_servers-Continue pending for req 15138853
fnbamd_ldap.c[417] get_member_of_groups-Get the memberOf groups.
fnbamd_ldap.c[441] get_member_of_groups- attr='memberOf', found 1 values
fnbamd_ldap.c[448] get_member_of_groups-val[0]='CN=SSLVPNUsers,CN=Builtin,DC=prueba,DC=local'
fnbamd_ldap.c[1292] fnbamd_ldap_get_result-Auth accepted
fnbamd_ldap.c[1307] fnbamd_ldap_get_result-Going to DONE state res=0
fnbamd_auth.c[1543] fnbamd_auth_poll_ldap-Result for ldap svr 192.168.1.254 is SUCCESS
fnbamd_auth.c[1564] fnbamd_auth_poll_ldap-Skipping group matching
fnbamd_comm.c[112] fnbamd_comm_send_result-Sending result 0 for req 15138853

no me aparecen las ultimas dos lineas de la autenticacion

en los logg del firewall me dice lo siguiente:

Level alert
Sub Type sslvpn-user
ID 39426
Action ssl-login-fail
Message SSL user failed to logged in

Spartaco · Mensaje por **Spartaco** » 29 Sep 2011, 13:20

aahh una cosa tambien, no se si sea relevante pero el Controlador de Dominio esta en una maquina virtual con VMware con la tarjeta de red en modo Bridge y con el ticket de Replicate physical network connection state

tambien mencionar que el FW es un FGT60B v4.0,build0328,110718 (MR2 Patch 8 ), no se si esto tambien pueda influir. :shock:

Saludos y gracias por la ayuda brindada

Mensaje por **gabyrossi** » 29 Sep 2011, 15:02

hola, si porobas esto:

Ldapserver # diagnose test authserver ldap serverLDAP fortinet Passw00rd
authenticate 'fortinet' against 'serverLDAP' succeeded!

usando los usuarios que esten dentor del grupoo que autentiucas el ssl y te dan succeeded estaria ok.

Spartaco · Mensaje por **Spartaco** » 29 Sep 2011, 15:53

Hola Gaby, muchas gracias por toda la ayuda,

Te comento, realice esa prueba y incluso esta en el debug y me dice:
authenticate 'fortinet' against 'serverLDAP' succeeded!

pero al mometo de realizar las pruebas desde [Debes identificarte para poder ver enlaces.] ingreso el usuario fortinet y la clave Passw00rd y me dice acceso denegado y en los logg del FW me aparece lo siguiente:

Level alert
Sub Type sslvpn-user
ID 39426
Action ssl-login-fail
Message SSL user failed to logged in

Spartaco · Mensaje por **Spartaco** » 29 Sep 2011, 17:02

Me aparecio otra duda... es verdad que el fortinet no toma las politicas del firewall sin que el, este en linea???... me explico el fortinet lo tengo en un ambiente de laboratorio simplemente el cual no esta conectado a la internet.. y por lo que me dijo un compañero hace un tiempo atras que las politicas no las toma, si el firewall no esta directamente a la internet... puede ser ese mi problema ???

Mensaje por **gabyrossi** » 29 Sep 2011, 17:48

hola... mmm no entiendo como queres acceder entonces?¿ estando en la misma red? no va a funcionar.

Comunidad FORTIGATE.es

VPN con Usuarios de Active directory

VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory

Re: VPN con Usuarios de Active directory