Duda para la creación de ssl vpn

[chris_hdez]

Hola a todos, os cuento dónde estoy atascado

Tengo un Fortigate 60c en modo transparente, por lo que no se pueden crear vpn-ssl.

Pensé en crear un dominio virtual y entonces configurar dentro del dominio virtual la conexión vpn-ssl, eso lo he podido hacer sin problemas.

Mi duda está con los interfaces, no tengo claro si tengo que crear nuevos o no para poder usarlos en las políticas dentro del dominio virtual que tiene la conexion vpn-ssl configurada. No sé si hay que crear interfaces y asociarlos al dominio virtual (en ese caso me pide una ip, no lo tengo muy claro el porqué).

Si alguien tiene experiencia con dominios virtuales y la creación de vpn-ssl, agradecería alguna ayuda.

Saludos.

[gabyrossi]

Hola, porque no usas el ipsec en el transparente?
el vdom transparente con el otro vdom tienem enlaces diferentes de internet? o son los mismos?

o armas intervdom o cableas de tal manera que lleguen a ese transparente.

saludos

[chris_hdez]

Hola Gabyrossi, gracias por tu respuesta.

Pues las conexiones vpn son para usuarios remotos, el ipsec ya lo estoy usando para interconectar dos sedes mediantes túnel ipsec entre Fortis.

El tema igual es más sencillo de lo que parece, como necesitamos que sea en modo transparente y también me están pidiendo vpn para llegar a recursos de la sede, pues creé un vdom para intentar crear allí las conexiones vpn y que los usuarios remotos pudieran acceder a recursos.

No he creado relaciones entre el "Global" y el vdom "vpn" que he creado, no he trabajado mucho con vdom y no lo acabo de ver claro, la conexión física en el forti es muy sencilla, 2 interfaces, "wan" e "internal", por el wan viene el router que da acceso a internet y el interfaz internal va a la lan...

No se si me he explicado bien.

saludos.

[chris_hdez]

Voy a aclarar un poco más el esnecario, a ver si alguien me puede echar una mano.

- Tengo un router ADSL, ese router tiene todo el tráfico redirigido a la IP interna del Forti.

- Del router ADSL he conectado 2 cables a Wan1 y Wan2 del Forti respectivamente. (antes sólo tenía el wan1, pero como no funcionaba, he intentado conectando otro interfaz...)

- He creado un dominio virtual "vpn" en el Forti, le he asociado el interfaz Wan2

- El dominio root está en modo transparente, el dominio virtual "vpn" está en modo NAT

- En el dominio "vpn" he asociado el interfaz wan2 y el que asigna por defecto (SSL.vpn)

- Dentro del dominio "vpn" he creado los usuarios vpn y grupos correspondientes

- Dentro del dominio "vpn" he creado las políticas correspondientes (ssl.vpn ->cualquiera, acción sslvpn y al revés)


El problema es que por mucho que le pongo la ip pública en el navegador con "https://ip_publica/remote:10443" o "https://ip_publica/login:10443" aunque el error del Explorer dice que si llega para no hay webpage en esa dirección..., el loginpage no aparece...

No sé si me estoy dejando algo...

Gracias y saludos.

[gabyrossi]

Hola, te estas complicano sin sentido.....

[chris_hdez]

Hola Gabyrossi, coincido contigo, pero si el root está en modo transparente, creo que la única opción para hacer vpn-ssl es crear un dominio virtual, no?

Si tienes alguna sugerencia, te lo agradecería.

Saludos.

[gabyrossi]

Hola, si salvo que hagas ipsec.

saludos

[chris_hdez]

Hola Gavyrossi, gracias por tu ayuda.

Si, aunque yo tenía entendido que IPSEC era más para crear un tunel permanente entre Fortis, de estos ya tengo uno creado. Lo que no tengo información de cómo crear un túnel contra usuarios remotos, es decir cliente XP/w7 contra la sede mediante ipesec.

Tienes algún link en el que pueda investigar?

Gracias.

[gabyrossi]

hola, en la documentacion de vpn tenes ejemplos.
Vpn DialUp modo policy
[Debes identificarte para poder ver enlaces.]


saludos

[chris_hdez]

Gracias Gabyrossi,

He revisado la documentación, me surgen algunas dudas:

La red local del forti es la 192.168.1.0/24
la red remota que está conectada por tunel ipsec es 192.168.2.0/24
El forti está en transparent mode, en el interfaz wan1 tengo conectado el router ADSL, en el port1 la red interna.

- Estoy en modo transparente, por lo que no puedo usar DHCP, dónde le especifico las direcciones IP que usarán los clientes dialup que se conecten?

- Con las políticas tengo otro dilema, ya tengo un tunel Ipsec con otra sede que funciona sin problemas, no sé cómo crear las políticas para los usuarios dialup para que no se molesten entre ellas.

- He creado phase1 y phase2, en modo agresivo, al hacer esto e intentar la conexión desde un cliente windows xp, tengo un error en el forti en la phase 2: "no matching gateway for new request"

Gracias por la ayuda.

[gabyrossi]

Hola,

* podes configurarle ip fija en el cliente (forticleint).
* la vpn diaulup tendra un local id y el mismo en el forticlient.
* estas usando forticlient?

[chris_hdez]

Hola de nuevo,

Ya he conseguido que funcione usando un dial-up Ipsec, aunque ha sido algo más complicado de lo que parece.

En modo transparente no hay posibilidad de usar DHCP
Hay que usar Forticlient en el usuario para conectarse
Hay que usar Fortinet VPN editor para crear el túnel en el usuario final
Hay que crear el túnel y usar el modo automático estableciendo como servidor de políticas la ip pública del Fortigate

De esta forma a mi me ha funcionado, aunque con algunas pegas por ejemplo no se puede establecer el servidor dns de la conexión vpn (está en modo automático), se puede solucionar poniendo el servidor como primera opción de la tarjeta física de red, o usar el host para añadir manualmente las entradas.

Muchas gracias por la ayuda, saludos.