Politicas de Navegacion con usuarios del AD

Para temas sobre el uso de las politicas de filtrado en los productos FortiGate.
Cerrado
fredya
Mensajes: 6
Registrado: 25 Jul 2012, 17:41

Politicas de Navegacion con usuarios del AD

Mensaje por fredya »

Buen día para todos, agradezco la ayuda me puedan brindar.

Tengo un Fortigate 60c (del que tengo poco conocimiento), he leído algunos manuales pero no logro dar internet a los usuarios autenticados con el dominio de la red local, mientras que cuando creo usuarios locales (firewall) me pide autenticacion y SI navega.

Version del Firmware: v4.0,build5440,110421 (MR2 Patch 6)


La configuración del fortigate 60c la tengo de la siguiente manera:

* en la parte de User-directory service, tengo configurado la dirección ip del servidor DC por el puerto 8000 que utiliza el FSAE con la contraseña correspondiente.
* En el Active Directory creo un grupo (navegacion_usuarios) donde tengo algunos usuarios seleccionados, en el fortigate user-user group creo un grupo con Directory service y selecciono el grupo navegacion_usuarios del AD.
* En el apartado Firewall-Policy creo una regla de Internal a Wan1, source addr. (all), enable NAT, en Enable identity selecciono el grupo "navegacion_usuarios", services "ANY".

En el momento que aplico las configuraciones mencionadas anteriormente, la navegación de los usuarios de mi red local se cae, incluyendo las pruebas de ping a internet.

Espero haber sido claro en la necesidad y en la configuración que tengo en mi fortigate.

Agradezco mucho la colaboración de todos, y felicitaciones por el foro, ayuda mucho a las personas que tenemos pocos conocimientos en productos Fortinet
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas de Navegacion con usuarios del AD

Mensaje por gabyrossi »

hola, primero
ves usuarios autenticados en el fssso ? ? solo tenes un server de ad? si tenes mas de uno se instalo el agente en el otro?
reniciaste los servers?

en el fortigate si haces

diagnose debug authd fsae list
¿que muestra?

y si haces:
diagnose debug authd fsae server-status
que te muestra?

tambien te recomiendo que actulices al partch 12 de mr2 y tambien actualices el fssa/fsso para esa version.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fredya
Mensajes: 6
Registrado: 25 Jul 2012, 17:41

Re: Politicas de Navegacion con usuarios del AD

Mensaje por fredya »

Gracias por la pronta respuesta.

según tus indicaciones te informo

¿Ves usuarios autenticados en el FSSO?
Si, los usuarios del dominio que han tratado de navegar, en la prueba que estoy haciendo he abierto el IE desde el servidor registrado con el usuario Administrador y desde un PC en el dominio con otro usuario... y los dos me aparecen en el FSSO pero no navegan.

¿Solo tenes un servidor de AD?
Si, solo uno y tiene instalado el FSAE Collector Agent y el DC Agent, si lo he reiniciado.

¿Que muestra copio en el fortigate diagnose debug authd fsae list?
me muestra los usuarios autenticados del dominio que te escribí en la primera pregunta

¿Que muestra se copio en el fortigate diagnose debug authd fsae server-list?
no aparece nada

gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas de Navegacion con usuarios del AD

Mensaje por gabyrossi »

Hola, perdon quise decir

diagnose debug authd fsae server-status


que dns usan las pc?
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fredya
Mensajes: 6
Registrado: 25 Jul 2012, 17:41

Re: Politicas de Navegacion con usuarios del AD

Mensaje por fredya »

Fui yo el que me equivoqué al copiar el comando, pero aún así no aparece nada,

El servidor es mi DNS, por lo tanto el dns de los equipos apunta a la dirección IP de mi servidor.

La navegación funciona siempre y cuando no habilite en el firewall-policy "Enable Identity Based Policy" en la regla internal a wan1
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas de Navegacion con usuarios del AD

Mensaje por gabyrossi »

hola, antes de la politica autenticada, hace una politica para el server de dns sin autenticas con servicio dns nateando.

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fredya
Mensajes: 6
Registrado: 25 Jul 2012, 17:41

Re: Politicas de Navegacion con usuarios del AD

Mensaje por fredya »

Hola,

Ya creé la politica y tampoco me navegó.... si tuvuera problema con el DNS no me responderia a [Debes identificarte para poder ver enlaces.] pero si a una direccion IP, pero en mi caso ninguno de los dos me responde.

No se si por este lado pueda tener problemas, en user-remote-ldap los valores que coloco allí son:
Name: un nombre descriptivo
Server name/Ip: la ip de mi servidor
server port: 389
Common Name Identifier: cn
Distinguished name: ou=locales,dc=midominio,dc=local *ACA MIS DUDAS
Bind Type=simple
Secure Conection Desactivada

*
las dudas que tengo son:

1: Por que si doy clic en la lupa (query) me aparece el error query failed
2: locales es una unidad organizacional y dentro de esta cree un grupo llamado "internet" y a dos usuarios que los vincule a este grrupo ---> esta bien el formato?
3: he visto en el documento [Debes identificarte para poder ver enlaces.] pagina 29 despliega las unidades organizacionales que se crearon en el dominio y alli puedo editar los grupos, cosa que a mi no me sucede, solo me muestra los grupos del dominio pero no me permite editar nada.

Tene en cuenta que si NO tengo habilidata "Enable identity Based Policy" en el firewall policy TODOS los equipos navegan sin problemas.

Gracias
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas de Navegacion con usuarios del AD

Mensaje por gabyrossi »

hola, apra el fsso no necesitas el ldap...
si estas suando sacalo...
salvo que lo uses para vpn u otra cosa...

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fredya
Mensajes: 6
Registrado: 25 Jul 2012, 17:41

Re: Politicas de Navegacion con usuarios del AD

Mensaje por fredya »

Hola.

Quité el servicio LDAP, sin embargo sigo con el mismo problema.

navega pero si no tengo habilitada la política de firewall-policy-internal a wan1 en el punto "Enable identity based policy", aqui cuando coloco el grupo "internet" del Directorio Activo no me navega ninguno de los que esta en el grupo y tampoco los que estan por fuera, es decir, todos se quedan sin internet, no responde ping ninguna dirección de Internet.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas de Navegacion con usuarios del AD

Mensaje por gabyrossi »

Hola,

revisa estos links:

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

[Debes identificarte para poder ver enlaces.]

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
fredya
Mensajes: 6
Registrado: 25 Jul 2012, 17:41

Re: Politicas de Navegacion con usuarios del AD

Mensaje por fredya »

Hola,

mira, me sirvió muchísimo tu ayuda, al final le hice reset al forti, lo configure de nuevo teniendo como base los pasos que me enviaste y funciono.

por si alguno le sucede, creo que el problema estaba cuando colocaba la politica en firewall-policy-enable identity, despues de colocar el grupo al que le iba aplicar, no tenia el check en Autenticacion FSAE.

Despues de reinciar servidor y realizar diferentes pruebas de navegacion, puedo realizar normalmente los bloqueos con los perfiles en el UTM que creo.

De nuevo, Agradezco mucho gabyrossi la colaboración tuya sobre este tema, espero que a otras personas que tengan este problema les pueda servir de ayuda.

hasta pronto.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Politicas de Navegacion con usuarios del AD

Mensaje por gabyrossi »

Hola, gracias por contarlo.

suerte.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Cerrado