VPN NO FUNCIONA ENTRE FORTIGATE 80C y Cliente PC Forticlient

[user111]

Buenas a todos,

Lo primero me presentare, soy Javier, técnico de sistemas de 35 años. Mis conocimientos sobre redes son más bien basicos, al final sabemos de muchas cosas pero en pocas somos especialistas y eso tienen sus ventjas y desventajas. Al grano, que no quiero aburriros, y antes de nada os agradezco el tiempo que empleeis en leer este post y vuestra ayuda desinteresada;



Os detallo la configuración de forma rápida, si me dejo algo pedidmelo sin problemas;

- Fortigate 80C Version sistema 4.0mr2 path 2. Modo Nat
- Wan1 conexion internet ip fja. Internal1; Red usuarios 10.0.10.0 ; Internal2; Red Servidores 10.0.0.0
- Firewall Address; Tengo creadas en rango de ips, las redes que tengo, usuarios,servidores y vpnssl que viene por defecto. FQDN, de alguns servidores e IPs de algunas maquinas para asignar permisos navegacion etc
- DHCP como relay, a un servidor interno con Win2008
- DHCP server para clientes IPSEC osea los clientes VPN con rango de ips concreto y pertenecientes a la misma red que Internal1 usuarios ej; 10.0.10.105-10.0.10.125
- Resumen rápido Reglas;

Implicita que bloquea todo y viene por defecto la ultima de todas.
De internal2 servidores a wan1 --- Permitido
De internal1 usuarios a wan1 ---Permitido con sus correspondientes filtros a usuarios etc
De internal2 servidores a internal1 usuarios --- permitido
De internal1 a internal2---- permitido
De wan1 a internal2 servidores ----- Algunos puertos abiertos para determinados servicios en algunos servidores.
Explicitas de la VPN creada;

1- De internal1 a wan1, seleccionando el tunel vpn creado, IPSEC marcado allow inbound outbound traffic. SIN MARCAR NAT
2- De internal1 a wan1 servicio dhcp, tunel vpn creado, IPSEC marcado, allow inbound outbound. SIN MARCAR NAT

Configuración de la VPN;

IPsec autokey, creadas fase1 y fase2 Fortigate funcionando como DHCP server

Problema; La VPN funciona y el cliente se conecta ok, pero no puede acceder a la vlan de servidores, por tanto a los recursos compartidos. Puede que me falte alguna regla, que la VPN no este montada como debe de ser....
Puedo hacer ping sin problemas al resto de maquinas de la red de usuarios pero no llego ni con ping a ninguna maquina de la red 10.0.0.0 (Servidores)

En la puerta de enlace del server dhcp del forti, cuando da ip a las maquinas por vpn he puesto de todo, la ip publica, la ip 10.0.10.200 la 10.0.0.200....vamos que estoy hecho un pequeño lio.

Las ips del fortigate de acceso al mismo desde las dos redes usuarios servidores son;
10.0.10.200 para los usuarios
10.0.0.200 para los servidores.

Agradezco cualquier sugerencia idea, porque para colmo me estoy leyendo el manual de vpn ipsec del forti 4.0 y me estoy liando lo suyo.....

gracias.

[gabyrossi]

Hola, te falta la politica de vpn desde la internal2 servidores..


asi solo llegaras a la de usuarios.

ojo con la phase2 si pusiste selectores.

saludos

[user111]

Muchas gracias por contestar gabyrossi,

Acabo de crear esa politica que dices(juraria que la probe ya sin exito)

Es decir, he creado otra regla desde internal2 servidores a Wan1, servicio IpSEC, tunel vpn marcado el que he creado y alow outbound alow inbound sin NAT marcado. El tema es que sigo sin llegar a los servers......ummm a no ser que haya que reiniciar el fortigate cosa que dudoooooo........

A que te refieres con los selectores dela fase2 , porque en la fase2 los selectores estan todos a 0, únicamente esta marcado;

Enable replay detection
Enable perfect forward secrecy
autokeep alive
dhcp-ipsec

[gabyrossi]

ok, y en el forticlient como configuraste la red remota? o dejaste 0.0.0.0 tambien?

[user111]

En el forticlient la red remota la tengo;

Gateway: la ip publica de la wan1 de mi fortigate
red remota; 10.0.10.0
mascara; 255.255.255.0

Viene de ahi el error?¿

[user111]

Joer gaby........que bien tio.....me funciona!!!!!!!

Tenias razon, efectivamente en el forticlient en la red remota tengo que dejar todo a 0.0.0.0 y ya me funciona!!!!!!!!

GRACIAS!!!!! que alivio............

Muchas gracias tio por tu tiempo...

RESUMIENDO PARA LOS QUE TENGAN UN FALLO SIMILAR, ME FALTABA;

1- La politica que dijo gaby, desde internal2 servidores a wan1 ipsec
2- En el forticlient debemos dejar los valores de red remota a 0 exactamente igual que como hayamos dejado configurados los valores en la fase2 del tunel vpn creado.

[gabyrossi]

Hola, ok
si dejas en la red remota.... toooodo el trafico se ira por la vpn.
no podras salir a internet salvo que en el fortigate hagas una politicas de la vpn hacia la wan.

si solo quieren ir por vpn a la redes locales detras del fortigate, tenes que agregar las redes remotas en el fortigate.
Y saldras a navegar por el enlace de la pc con forticlient.

saludos

[user111]

Hola Gabyrossi,

Gracias por responder. Efectivamente tal como has adelantado, me he encontrado con el problema de que los clientes vpn no podian salir hacia internet. Solución; Crear una regla desde Wan1 a Wan1 Ipsec, marcando el tunel vpn creado, allow inbound, outbound, y también "alow INBOUND NAT" tal y como viene en la documentacion de IPSEC de fortinet. Asi, ya podian los clientes salir hacia internet, además a esa regla la he aplicado los mismos filtros UTM de navegacion, antivirus etc que tienen los usuarios locales.

Respecto a tu última respuesta, si quiero como dices que los clientes vayan solo por vpn a las redes locales detras del forti, donde tengo que agregar esas redes remotas...te refieres en el forticlient? o hay que tocar algo en el fortigate. Ves algun riesgo de seguridad por el hecho de que los clientes vpn naveguen a traves de la propia red vpn?¿

[gabyrossi]

hola, si las redes remotas se agregan en el forticlient.

todo dependera de que quieres qe hagan cuando estan en la vpn....

saludos