Proveer Internet utilizando VPN existente

[Billy]

Buenos días a todos, espero que se encuentren bien.

Tengo un problema de ruteo que no he podido resolver, actualmente tenemos varias sedes en diferentes partes de mi país natal. Cada uno cuenta con un fortigate 60B, se crean VPN's para crear un canal privado de comunicación entre la red Central y el punto remoto.

En la red Central contamos con un Router que nos provee de Internet, acá tenemos políticas basadas en el uso y privilegios que cuentan los usuarios. Ahora bien, por sus características, en el punto remoto existen usuarios que deben tener también acceso a Internet. He intentado realizar la configuración pero no he podido descifrar la manera de como hacerlo, de hecho, no sé si el utm tiene la capacidad para hacerlo...

Quizás alguien se haya topado con una situación similar y me pueda orientar, adjunto diagrama de red para su observación.

Saludos cordiales,

[gabyrossi]

hola, como estas?

* va a depender de como armaste la vpn, mas que nada en la phase2 y politicas de vpn.
* tambien deberias rutear todo el trafico de la sucursal hacia la vpn, para ue no salga a internet a nivel local.

slaudos

[Billy]

Muchas gracias Gaby, respecto a phase2, acá únicamente tengo el rango de IP origen y el IP destino que para mi caso es: source address: 192.168.70.0/24 y destination address: 192.168.90.0/24...no sé si deba agregar o corregir algo en ella.

Con el tema de internet en efecto, localmente tenemos políticas definidas que nos funcionan bastante bien.

El problema está en darle acceso a Internet a un equipo que se encuentra en una sede remota

Saludos,

[gabyrossi]

hola, la phase 2 eldestino debera ser 0.0.0.0./0 si es que quiere navegar por la vpn

cuando hablo de internert de las pc remotas hablo de qeu el gw de las pc remotas es el gw local que seguramente los sacar a internet o no, esto debera cambair y rutearlo por la vpn... es lo que vos queres? o no?

saludos

[Billy]

Hola Gaby, creo que he comprendido la idea, dime si estoy en lo correcto:

Colocando el phase2 de la forma que me indicas pasaría todo el tráfico del firewall remoto hacia el firewall en la sede local, para que los equipos remotos puedan salir a Internet es necesario colocar como gateway la ip de la sede local, es decir un equipo remoto quedaría con la siguiente configuración


192.168.70.20 /255.255.255.255.0 gateway 192.168.90.1

Luego agregaría en las políticas del firewall local las directivas para limitar el acceso a internet según las políticas de la empresa.

Estoy en lo correcto?

Saludos,

[gabyrossi]

hola, la idea seria esa.
tendras que revisar bien el ruteo.

en el fortigate de la surcursal tiene que haber al menos 2 politicas. una para que el fortigate lo veas por internet... ruta con destino a la red wan de internet con gw de internet, y otra con mayor distancia para que todo el trafico se vaya por la VPN (modo interface).

saludos

[ArielMB]

disculpen por revivir este post, pero pudieron hacer esto?

yo tengo ruteado todo el trafico de la vpn al gateway del fortinet sede central, pero tengo una duda con la politica para crearla, como debería ser?

[Solidem]

buenas tardes compañeros de tanto investigar encontre este tema interesante y ojala puedan ayudar ya que me encuentro con este esceneario de acuerdo al tema, la situacion esta asi :

tengo creada vpn modo interface en donde el sitio central tiene 2 enlaces dedicados y 2 dsl todos con la misma distancia ya que los tengo en una zona y pueda balancear las cargas, en el sitio remoto un dsl en modo pppoe y su lan 10.0.100.0/24 todo funciona puedo llegar a los servidores sin ningun problema, ahora salio el detalle que el cliente quiere que de uno de sus enlaces dedicados sitio central pueda hacer un nat (ip virtual en donde desde el sitio remoto 10.0.100.1------> se traslade a una 201.130.x.x/240 que esta ip publica se encuentar en el sitio central es posible esto o me lo estoy fumando por q no puedo hacerlo realize lo siguiente:


sitio remoto: ruteo conociento a la red publica por la vpn 201.130.x.x/240 por la vpn en modo interface distancia 1 antes que toda,politica en donde de la red lan conociera atraves de la vpn modo interface a la ip publica con este ruteo llego a la ip publica por la vpn, pero aca no se donde poner el virtual ip se lo he puesto al sitio central en donde como externo la ip publica que se traslade por la interfaz de la vpn del sitio remoto a la 10.0.100.1 y no mas no lo hace se lo he puesto al sitio remoto como externo pongo a la intefaz creado por la vpn y pongo la ip publica que traslada a la 10.0.100.1 y no funciona, la pregunta es: es posible hacer esto o me lo estoy fumando

saludos compañero, espero puedan ayudar que tenga buen dia y no se estresen con el fortigate que es facil pero a veces salen cada cosaaaaaa

[gabyrossi]

Hola, como estas?
si pero la politica donde usas el vip desd einternet a la interface vpn deberias natearla.

saludos

[Solidem]

que tal gabriel espero estes bien

fijate que ya intente hacerlo desde los dos lados, sitio central quedando de la siguiente madera

Virtual IP

Nombre: Servidor FTP
Interface Externa: Enlace Dedicado
Tipo: NAT Estático
Dirección IP / Rango Externo - 201.130.x.x
Mapeo de Dirección IP / Rango - 10.0.100.1
Redireccionamiento de Puerto
Puerto del Servicio Externo - 21
Mapeo al Puerto - 21


la politica es todo lo que venga del enlace dedicado llevalo a la VPN modo interfaz y pongo el VIP servicio ftp y habilito el nat y no funciono.


de igual forma intente hacerlo desde el sitio remoto pero no mas no funciono: siento que si se puede pero ahora si me rindo ya le busque por todos lado

saludos y que esten bien

[gabyrossi]

Hola, el servicio ftp es bastante complicado, pero deeria funcionar igualmente.

saludos

[Solidem]

que tal gabriel dejame decirte que ya funciono al fin gracias por tus respuestas

estamos pendiente cuidate a ver que dia nos topamos en el xtreme team

saludos y que estes bien

[gabyrossi]

Hola, lo resolviste de esa manera?
de donde sos?

saludos