VPN SSL Rules

[dsalnikov]

Buenos días, como estan?

Tengo una consulta.

Dentro de mi organización tengo una VPN SSL funcionando.

En la política de firewall tengo varias reglas, por ejemplo cierto grupo de usuarios de AD en el portal pueden establecer un túnel hacia la red interna con todos los servicios.

Por otro lado, si observan la regla Nº 5 otro grupo de usuarios también tiene un portal para túnel pero solo el servicio HTTPS esta marcado.

El problema es que igual tiene todos los servicios, esc remoto, vnc, ping, etc etc




Que estoy haciendo mal?

Gracias de antemano y buena jornada.

[gabyrossi]

hola,algunas preguntas:

primero, los grupos son tomados por ldap?
segundo, cada grupo tiene su portal...en ese portal esta configurado en modo tunel o modo web?
tercero,si es en modo tunel, cada portal tiene su pool de ip?
cuarto,tenes politica de ssl.root a interna?

saludos

[dsalnikov]

Hola Gabriel, gracias por tu respuesta. Como siempre!

primero, los grupos son tomados por ldap?
Si, son tomados por ldap y lo hace correctamente

segundo, cada grupo tiene su portal...en ese portal esta configurado en modo tunel o modo web?
si, cada grupo tiene su portal y en este caso (el portal 5, lo estoy haciendo en modo tunel).

tercero,si es en modo tunel, cada portal tiene su pool de ip?
acá creo que diferimos, tengo un rango de direcciones x.x.x.1-20 que utilizo para todos los tuneles el mismo (dado que si se conectan por uno u otro portal adquieren direcciones consecutivas del mismo rango), te muestro como tengo conf. el túnel:



cuarto,tenes politica de ssl.root a interna?
Si, esta creada. Ahora, el rango que tiene como source es el mismo que te hable en la otra pregunta...



Que debería hacer? Crear otro rango de direcciones y colocarlo en la política ssl.root? lo que no quiero es crear más políticas, por eso utilice reglas dentro de la política de Action= SSL VPN.

Gracias & Saludos,

[gabyrossi]

hola, como estas?
si solo el grupo swl portal de id 5 tiene modo tunel, entonces en la politica de ssl.root a interna pone https. solo usara esa.
las demas supongo que son en modo portal, y solo con la politica de wan a interna basta.

lo de pool ip que te comentaba comienza a ayudar cuando tenes mas de un portal en modo tunel..
por ejemplo portal A - tunel rango del 1 al 10, portal B- tunel rango 11 al 21

el tunel a podra ir a toda la lan en any puertos
el tunel b solo podra ir a una ipo en determinado puerto.

entocnes tendras 2 politicas del ssl.root a interna, una pada cada rando (con su rango) con sus destinos y servicios especificos .

espero que se entienda.

saludos

[dsalnikov]

Hola, entendí perfectamente tu explicación y me parece razonable.
Voy a crear otro rango, otra política y te cuento.

Un abrazo!
Diego

[gabyrossi]

hola, ok barbaro

saludos