Varias reglas IPSEC

[damagris]

Hola buenas,

tengo una duda. Ya tengo funcionando el IPSEC para un grupo de usuarios que se me conectan desde Internet hacia la red Interna (estos usuarios una vez conectados ven toda la red interna). Pero ahora lo que quiero es que otro grupo de usuarios, también de Internet se puedan conectar a un grupo de equipos específicos de la misma red Interna (no a todos como en la primera de las políticas). La cosa es que no me deja, al parecer la primera de las reglas definidas para el IPSEC es la que se impone y aunque tengo las dos reglas definidas, sólo me funciona la primera. No soy capaz de hacer una segunda política IPSEC para aplicársela a un grupo concreto de usuarios y que sólo puedan acceder a un grupo definido de servidores.

¿Alguna idea?

[gabyrossi]

Hola, como estas? en tu caso vos tenes una plitica general de ipsec donde pueden entrar a todos lados y la otra mas particular es entrando a unos servidodes. esta ultima deberia estar primera.
Tambien seria bueno que pudieras general usuarios para autenticarlos . Me imagino que se estan conectando por forticlient, no?

saludos
Gabriel

[damagris]

Si, si curiosamente la regla más restrictiva de IPSEC es la que está por encima. La más permisiva, está por debajo de la anterior. Hay dos grupos de usuarios, unos para acceder a una regla y otros para la otra (con incluso distintos grupos de fase 1 y fase 2 así como de "preshared key"). Pero es lo que te comento, por el motivo que sea, la primera regla que creo que es la del acceso total es la única que me funciona. Y no me termina de cuadrar, no se sinceramente donde está el misterio.

[gabyrossi]

hola, pregunta. como armaste la vpn? en modo ruta o interface ?? si lo haces en modo interface es mas facil-.

contame como lo hiciste.
y no me quedo claro si en las politicas que hiciste de encrypt pusiste la mas general abajo.

saludos
Gabriel

[damagris]

Está en modo interface.

La más general es la que está más abajo de las dos políticas de IPSEC /ENCRYPT pero de todos modos te cuento. Me acabo de dar cuenta que si me funciona si cambio la encriptación y fuerzo que las dos reglas usen cada una una encriptación distinta a la de la otra y luego desde el Forticlient, forzando la encriptación de una u otra regla consigo que me funcionen las reglas indistintamente y por separado.

Es decir:
1.- Para mi fase_A_1 y fase_A_2 uso AES256 - SHA1 con la preshared-key X
2.- Para mi fase_B_1 y fase_b_2 uso AES256 - MD5 con la preshared-key Y, NO ME PUEDE COINCIDIR CON LA DEFINIDA YA EN EL PASO 1.
3.- Mi primera regla/política de ENCRYPT que usa la fase_A_1 es la más restrictiva con su grupo de usuarios.
4.- La regla de ENCRYPT que usa la fase_B_1 es la menos restrictiva con su grupo de usuarios distintos a la anterior y que está inmediatamente debajo de la anterior en la definición de políticas.

Así si consigo que me funcione, pero como te digo, cambiando las encriptaciones/autenticaciones en las fases_A y B para que no coincidan.

¿Es raro verdad? ¿Por qué si mantengo en las fases la misma encriptación/autenticación luego el Fortigate no es capaz de entrar en las reglas de acuerdo a la preshared-key, usuario y contraseña que se le de desde el Forticlient?

Un saludo y gracias por tu tiempo.

[damagris]

He vuelto sobre este tema que me tiene preocupada y sigo dándole vueltas al asunto ¿Por qué las fases 1 de mis accesos por IPSec no puede coincidir en sus encriptaciones? Si es así, sólo consigo que el Fortigate actúe siempre basándose en la fase 1 que alfabéticamente sea la primera ¿¿??. Es decir, si por ejemplo defino:

A_fase_1 AES256 SHA1
A_fase_2 AES256 SHA1
PK: xxxx

B_fase_1 AES256 SHA1
B_fase_2 AES256 SHA1
PK: yyyy

siempre el fortigate ante cualquier intento de conexión por IPSEC sea con la preshared key xxxx o la yyyy, siempre, se empeña en intentar ir por la A_fase_1
Sin embargo si a B_fase_1 le digo que use AES192 SHA1 y en el cliente Forticlient fuerzo esa misma encriptación ya si salta por ese camino.

¿Podría ser un bug de la versión de firmware? Yo no le encuentro explicación.

[gabyrossi]

hola, como estas? que es lo que intentas hacer con 2 vpn ?


danos mas detalles de para que usas una vpn y para que la otra.

saludos
Gabriel

[damagris]

Quiero poder tener dos tipos de conexiones IPSEc (cada una con sus respectivas fases de autenticación contra distintos grupos de usuarios), cada conexión con su correspondiente política para dar acceso a ciertos grupos de ordenadores de la red interna pero como digo, haga lo que haga (salvo forzar distintos modelos de encriptación para cada una de las fases 1) siempre los Fortigate 800 intentan autentificar por la fase 1 (la que alfabéticamente aparezca la primera ¿¿??) y me gustaría poder tener en todas las fases 1, el mismo modelo de encriptación AES256 - SHA1. Ya he mirado algunos de los escenarios de ejemplos del [Debes identificarte para poder ver enlaces.] e igualmente sigo sin poder hacerlo. Dicho de otro modo, es como si el modelo de encriptación que se aplica a la fase 1 fuera el condicionante de ejecución/validación de usuarios y no por ejemplo la preshared key o el ID del grupo asociado a cada fase. Es algo que me está volviendo loca porque no entiendo el comportamiento. Insisto, que lo tengo funcionando siempre que mis modelos de encriptación de las fases 1 no coincidan.

[gabyrossi]

hola, probaste de hacerlo en modo ruta? digamos con la interface virtual? por ahi asi es mas facil.
copia la configuracion de las politicas de vpn y de las vpn. , asi vemos como estan hechas.


Gabriel

[damagris]

Gracias, te posteo la parte de la configuración que se refiere al IPSec:

Definición de mis dos grupos de usuarios:

edit "USUARIOS SISTEMAS"
set profile "unfiltered"
set member "sistemas.ipsec"
next

edit "USUARIOS GESTION"
set profile "unfiltered"
set member "gestion.ipsec"
next


Definición de las Fases IPSec (las psksecret son distintas aunque por seguridad no las posteo como originalmente salen):

config vpn ipsec phase1
edit "ipseca1"
set type dynamic
set interface "external"
set nattraversal enable
set proposal aes192-sha1
set xauthtype pap
set psksecret ENC XXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
set authusrgrp "USUARIOS SISTEMAS"
next
edit "ipsecb1"
set type dynamic
set interface "external"
set nattraversal enable
set proposal aes256-sha1
set xauthtype pap
set psksecret ENC YYYYYYYYYYYYYYYYYYYYYYYYYYYYYY
set authusrgrp "USUARIOS GESTION"
next
end

config vpn ipsec phase2
edit "ipseca2"
set keepalive enable
set pfs enable
set phase1name "ipseca1"
set proposal aes256-sha1
set replay enable
set dhcp-ipsec enable
next
edit "ipsecb2"
set keepalive enable
set pfs enable
set phase1name "ipsecb1"
set proposal aes256-sha1
set replay enable
set dhcp-ipsec enable
next
end

Las políticas que se aplican a cada una de las configuraciones IPSec:

edit 82
set srcintf "internal"
set dstintf "external"
set srcaddr "all"
set dstaddr "all"
set action ipsec
set schedule "always"
set service "ANY"
set logtraffic enable
set comments "IPSec usuarios Departamento de Sistemas"
set inbound enable
set outbound enable
set vpntunnel "ipseca1"
next

edit 83
set srcintf "internal"
set dstintf "external"
set srcaddr "RED DE GESTION"
set dstaddr "all"
set action ipsec
set schedule "always"
set service "ANY"
set logtraffic enable
set comments "IPSec usuarios Departamento de Gestión"
set inbound enable
set outbound enable
set vpntunnel "ipsecb1"

Como ves, sólo consigo que funcione si donde defino cada una de las "phase1" pongo:

set proposal aes192-sha1 , para la primera
set proposal aes256-sha1, para la segunda

es decir, que no pueden ser la misma.

[gabyrossi]

Hola, como estas? Porque no armas la vpn en modo ruta. y solo armas una phase1 y una phase2 y en un grupo solo metes los 2 usuarios o x usuarios para que autentiquen ahi.
Luego armas las politicas de vpn interface y dentro de cada politica con destinto desternimano le aunteticas el grupo necesario.
luego otra policita con el otro grupo.

probaste eso?
se entendio?

saludos
Gabriel

[damagris]

Uppps no lo termino de enteder ¿Sabes de algún ejemplo como el que me dices que esté documentado?

[gabyrossi]

hola, como estas? La gui de vpn esta muy completa:
[Debes identificarte para poder ver enlaces.]

Y cuando hablo de politica de vpn me refieron cuando dice: Route-based VPN firewall policy en la pagina: 78.
Solo que tenes que autenticarla con el grupo que necesites autenticar para el destino que vos le indiques.

Luego haras otra politica con el otro grupo, para el otro o los otros destinos.

La vpn armala en modo ruta . (tildando Enable IPSec Interface Mode).

incoveniente de esto, es que funciona si a los clientes no le das dhcp desde el fortigate.

saludos
Gabriel

[damagris]

Y como se apaña uno luego con los enrutamientos, quiero decir, reservo un rango de IPs que se tienen que poner los clientes en el Forticlient pero luego, que default gateway se tiene que poner o como se hace desde el propio Fortigate?

[gabyrossi]

Hola, por eso te digo, si configuraste un dhcp en la wan para la vpn ipsec del forticlient o le diste un rango directamente en los forticlient remotos?
como hiciste eso?
depende de como pensaste eso y de como armaste podras hacer la vpn de una forma u otra para los remotos forticlient.

saludos
Gabriel