VPN ipsec y usuarios FSSO

[wpinelo]

Hola a todos,

Puedo usar FSSO sobre una VPN ipsec ?

es decir que el servidor de validación de las cuentas de usuarios esté detras de una VPN ipsec (site to site).

en la v3 funcionaba muy bien pero dejó de funcionar al actualizar a la v4 mr3 patch 6.


RAMI-Matriz # show user fsso
config user fsso
edit "bepensamotriz.local"
set password ENC
set server "192.168.0.3"
set source-ip 192.168.13.1
next
end

el servidor donde esta el collector es 192.168.0.3 y solo es alcanzable usando la VPN ipsec sobre el puerto wan1.

RAMI-Matriz # show system interface internal
config system interface
edit "internal"
set vdom "root"
set ip 192.168.13.1 255.255.255.128
set allowaccess ping https ssh snmp
set type physical
set alias "LAN-Rami"
next
end

RAMI-Matriz # show system interface wan1
config system interface
edit "wan1"
set vdom "root"
set mode pppoe
set distance 20
set allowaccess ping https
set type physical
set alias "vpn"
set username "xxxyyyzzz"
set password ENC "zzzyyyxxx"
set defaultgw enable
set mtu-override enable
set mtu 1492
next
end

RAMI-Matriz # show vpn ipsec phase1 BEPENSAMOTRIZ_GTW
config vpn ipsec phase1
edit "BEPENSAMOTRIZ_GTW"
set interface "wan1"
set dhgrp 2
set keylife 28100
set mode aggressive
set proposal 3des-md5
set localid "puerto"
set remote-gw 207.248.255.21
set psksecret ENC
next
end

RAMI-Matriz # show vpn ipsec phase2 BEPENSAMOTRIZ_TUNEL
config vpn ipsec phase2
edit "BEPENSAMOTRIZ_TUNEL"
set keepalive enable
set phase1name "BEPENSAMOTRIZ_GTW"
set proposal 3des-sha1
set dst-subnet 192.168.0.0 255.255.0.0
set keylifeseconds 28800
set src-subnet 192.168.13.0 255.255.255.0
next
end

RAMI-Matriz # show firewall policy 5
config firewall policy
edit 5
set srcintf "internal"
set dstintf "wan1"
set srcaddr "all"
set dstaddr "LAN-BepensaMotriz"
set action ipsec
set schedule "always"
set service "ANY"
set logtraffic enable
set traffic-shaper "default"
set traffic-shaper-reverse "default"
set inbound enable
set outbound enable
set vpntunnel "BEPENSAMOTRIZ_GTW"
next
end

RAMI-Matriz # show firewall address LAN-BepensaMotriz
config firewall address
edit "LAN-BepensaMotriz"
set subnet 192.168.0.0 255.255.0.0
next
end

los usuarios ubicados detrás de la interfaz internal pueden conectarse al servidor windows AD 192.168.0.3 sin dificultades, como se puede observar desde el sniffer:

RAMI-Matriz # diag sniffer packet any "dst 192.168.0.3"
interfaces=[any]
filters=[dst 192.168.0.3]
<<<( unidad fortigate sin alcanzar 192.168.0.3 )>>>>
6.285751 192.168.13.1.15726 -> 192.168.0.3.8000: syn 3803766643
7.286516 192.168.13.1.15727 -> 192.168.0.3.8000: syn 3230243611
10.285738 192.168.13.1.15727 -> 192.168.0.3.8000: syn 3230243611
16.285742 192.168.13.1.15727 -> 192.168.0.3.8000: syn 3230243611

<<<( usuarios sin problemas accesando windows AD en 192.168.0.3 )>>>>
48.718259 192.168.13.58.445 -> 192.168.0.3.3231: psh 2914645150 ack 169597693
48.852353 192.168.13.58.445 -> 192.168.0.3.3231: psh 2914645193 ack 169597732
48.986309 192.168.13.58.445 -> 192.168.0.3.3231: ack 169597733
48.986645 192.168.13.58.445 -> 192.168.0.3.3231: rst 2914645232 ack 169597733
RAMI-Matriz #


no entiendo que pasa, un autentico misterio.

ojalá puedan ayudarme.

gracias.

[gabyrossi]

hola, cual seria el problema?

saludos

[wpinelo]

no puedo usar la caracteristica FSSO para autenticar usuarios.

Desde el firewall no puedo alcanzar el collector FSSO que se encuentra del lado de la vpn.

[gabyrossi]

hola, solo tenes un controlador de dominio?
llegas por ping? tenes puertos abiertos en la vpn?

[wpinelo]

ya esta!

resuelto activando la VPN en modo interfaz en ambos sitios.

gracias a todos por la paciencia.