No llego a IP´s internas con FortiClient SSL-VPN

[GoldFran]

Buenas chicos

Estoy probando mi VPN-SSL de mi oficina a mi casa.

Todo funciona aparentemente correcto, es decir con [Debes identificarte para poder ver enlaces.] conecto al portal y desde el portal, dentro de las opciones a través de Java funciona todo perfecto, hago ping, entro a mi FTP interno a mis unidades SMB... Pero el problema surge a la hora de utilizar por ejemplo el RDP ya que vía http no me funciona correctamente.

Probé a activar el tunnel connection y se conecta dándome una de las IPs asignadas en la pool de IPs de VPN. Pero cuando voy a conectar por RDP, iniciar un navegador o hacer ping desde una consola DOS... Nada, no consigo resolver direcciones internas.

Para haceros un poco la idea:

IP externa router: 88.88.88.88
IP interna router: 10.194.0.1
IP DMZ router --> Forti WAN1: 10.194.0.53
IP Forti WAN1 --> Internal: 10.194.0.254 (puerta de enlace)
DHCP y DNS Windows 2008 (10.194.0.10): 10.194.0.[20-50] (puerta de enlace Forti 10.194.0.254)
Pool IPs VPN-SSL: 10.197.0.[100-110]

Ya sea a traves del tunnel connection de portal o desde el cliente, haciendo ping no llego a las direcciones internas, por ejemplo a ese 10.194.0.10 que sería mi windows server o a mi 10.194.0.40 que sería mi NAS vía SMB

Compruebo que la conexión VPN SSL de mi ordenador da IP y efectivamente me da una 10.194.0.100 que estaría en el rango de pols asignada eso si con subred 255.255.255.255 en vez de 255.255.255.0...

¿Alguna sugerencia que me estoy volviendo loco?

[gabyrossi]

Hola, confiuguraste la politica de ssl.root hacia la red interna?

y la ruta estatica?

revisaste la documentacion?

saludos

[GoldFran]

Pures precisamente era lo que estaba revisando...

Pero no encuentro la interface ssl.root cuando creo las políticas. Pensaba que era la acción vpn-ssl pero parece que no...

Tengo el Forti 40c 4.0 MR3 Pach 10 por si sirve

Estoy atontado no localizo la forma de crear Inbound Access Policy y las rutas estáticas

Son las dos cosas que me faltarían

[GoldFran]

duplicado

[GoldFran]

Vale, creo que ya lo tengo, a falta de ser comprobado (no estoy en mi casa), la cosa quedaría así.

Me faltarían las reglas de ssl.root, el problema es que en reglas ya no se llama así, se llama de esta manera:



Luego de crear las dos reglas de ssl.root a internal y de internal a ssl.root, la cosa queda así:



Por último he creado una ruta estática con mi red interna que apunte a la ssl.root tal que así (aquí si se llama ssl.root)



Creo que con esto ya podré usar el tunnel connect o el cliente FortiClient VPN-SSL para llegar a las direcciones internas. También activando en Tunnel Model el split tunneling.

¿Crees que así funcionará todo?

[GoldFran]

Nada, no consigue hacer "tunnel" con el VPN-SSL para usar el terminal el RDP o el explorador propios de mi sistema, he revisado todo y seguro que es una chorrada como un piano algo se me está pasando...

Solucionado

La dejo por si a alguien le sirve:

El problema eataba en la ruta estática... Para que funciione la VPN independientemente del portal hay que tener en cuenta dos cosas:

- Direcciones IP Pool para VPN --> distinta siempre a la red interna que tengamos (ejemplo IP VPN SSL --> 10.10.10.[10-20] LAN 10.194.0.0/255.255.255.0)
- Enrutador estático --> igual a la dirección VPN-SSL --> 10.10.10.0/255.255.255.0

Y ahora ya anda por fin