Problema con SSL VPN

[damagris]

Hola, estoy viviendo mis primeras experiencias con SSL VPN en los Fortigate 800 y de momento ya he conseguido que me funcionen algunas cosas. Estoy intentando configurar el "tunnel mode" y tengo varias dudas. Cuando intento activar la opción "Allow Split Tunneling" me dice "Destination address of split tunneling policy is invalid." ¿Alguna idea?

[damagris]

Otra cosilla. Ya he visto que consigo configurar la conexión (de momento sin poder usar la opción anterior "Allow Split Tunneling" por lo que os digo de que si la activa me protesta). Me creo mi rango de IPs que se darán a los clientes SSL, activo la opción de tunel y de aplicación web para mi grupo de usuarios SSL VPN y todo genial. Me genero la regla en el firewall que permite la conexión desde cualquier IP que venga de Internet por la parte externa del firewall a mi red interna para mi grupo de usuarios SSL que de momento permite todos los protocolos. Veo que me autentivo vía explorador desde un cliente en internet ([Debes identificarte para poder ver enlaces.]), llego al portal sin problemas, puedo ejecutar vía applet de java mi RDP, mi telnet, mi ping (las aplicaciones web que le definí en el grupo)... contra servidores que están en la red interna. Es entonces cuando pruebo la parte del tunel. Se me descarga el ActiveX, se me instala, se ejecuta, me aparece el icono en la parte inferior derecha de Windows donde el relojito, veo que en el explorador me indica que todo OK con el ActiveX y que estoy conectada y desde un CMD de Windows hago un ipconfig / all veo que me ha dado en la interfaz de la conexión del tunel una ip del rango que le dije al firewall en la configuración del SSL VPN.

Genial hasta aquí. Sin embargo es ahora cuando me tiene despistada, veo que desde ese CMD de Windows, un ping a un servidor interno no me va, pero si me va desde el tester que hay en el portal Web y lo mismo para los RDP. ¿No se supone que si establezco el tunel y lo tengo levantado debería poder empezar a usar aplicaciones de Windows contra la red interna? Lo mismo si con el tunel levantado, si intento un mstsc del propio Windows contra un servidor interno no me va, pero si me va el RDP por java del portal web.

Gracias por vuestro tiempo.

[damagris]

Uff ya di con ello, resulta que hay que seguir unos pasos que no vienen en la documentación oficial. Vi en otro hilo un mensaje de gabyrossi refiriéndose al link:

[Debes identificarte para poder ver enlaces.]

y por fin todo ok!!! Jolines, tenía su misterio.

Ahora mi pelea se centra en conseguir que el Firefox 3.0.1 se deje instalar los plugins del SSL VPN (en Explorer todo a la primera).

[emintec]

Hola Damagris,

Veo que has dado por contestada la consulta tu sola. Genial. Solo comentar que con Firefox se debería instalar un componente de Java o sea que mantén el Java actualizado en tu ordenador (y claro permisos de usuario para bajar-grabar-ejecutar).

No me queda claro si lo del Allow Split Tunneling para evitar que todo el tráfico entre por el tunel lo has aclarado con la documentación o aún esta como duda por resolver.

Pues nada, buenas tardes.

[damagris]

Si, lo tengo más o menos claro. Ya he visto que en los Fortigate 800 hay cosas que son sutilmente diferentes y que algunas de vuestras respuestas luego hay que ajustarlas en este equipo. En mi caso lo del "split tunneling" era que no debía indicar "ALL" en el grupo de direcciones de destino cuando un SSL VPN se conecta de la external a la internal (en vez de ALL me ha tocado definir un grupo de direcciones que es toda la red interna). En ese momento, me dejó usar la opción. A parte claro está de todo el tema nuevo del ssl root. Ya me va todo, la parte de aplicaciones web, la parte de tunel y poder usar desde el equipo todas las aplicaciones contra la intranet, enrutar a internet sin pasar por el tunel, enrutar entre SSL VPN y PPTP, de PPTP a SSL VPN de SSL VPN a la interna, de la Interna a SSL VPN. Vamos, que de estar atrancada dos días con esto, ya me he desempolvado todos mis conocimientos de enrutado de redes .

Respecto al Firefox, pues es un expediente X, te cuento. Si que tengo actualizado el java a tope en el Firefox 3.0.1 (de hecho hasta lo reinstalé por si fuera eso) pero cuando intento instalar los plugins de borrado de caché y del tunel en sí a petición del portal, nada. Mil veces que le doy, mil veces que dice que parece que están instalados pero entras otra vez y te vuelve a decir que los instalas nuevamente. De momento he salido del paso haciendo lo siguiente.

Me bajo el Firefox 2.0.0.16, la última versión previa a la 3. La instalo encima del Firefox 3, entro, protesta por los plugins pero curioso, esta vez si que los instala en un par de intentos y tras ello, entro y salgo tantas veces como quiera que los plugins están instalados . Vale, pues ahora cojo y sobre la 2.0.0.16 instalo de nuevo la 3.0.1 y .... tachán!!! el Firefox 3 ahora si que dice que los plugins ya le valen y están instalados. Y el tunel vuelve a funcionar. ¿Alguna idea? Por supuesto todo ello en modo administradora del equipo para no tener delimitados los permisos de escritura y modificación en las instalaciones.

[gabyrossi]

Hola, como todoas sabemos firefox 3 es muy reciente, y esta dando algun que otro problemita con el ssl a la hora de instalar los plugins como vos decis.
pero se solucionan !!

saludos
Gabriel

[damagris]

Al menos el truco de bajarte a la 2 ponértelos y subirte a la 3 me sigue funcionado, aunque eso si, lo ideal sería que en el Firefox 3.0 se instalaran sin problemas.

[gabyrossi]

Hola, seguramente en breve andara bien.

saludos