VPN SSL (No puedo ver clientes desde red interna)

[dsalnikov]

Estimados, buenás tardes!

Tengo un inconveniente.
Actualmente tengo 2 o tres "tipos" de SSL VPN en el sentido de que algunos usuarios o grupos se conectan a la red interna para hacer cosas distintas.
Todos en modo tunel, algunos con acceso solo a un servidor por RDP, otros acceso a todos los servicios, etc.

El problema en común, es que tengo todas las políticas creadas para que esto funcione pero no veo a ningún cliente. Me refiero a que no puedo pinguearlo, hacer un vnc, rdp o lo que sea. Calculo que me falta alguna política.

Acá les muestro un caso:

Portal configurado con el tunel andando, el usuario autentifica y conecta con el rango asignado perfectamente.

Ruta estática:

Destination IP/Mask: 10.20.30.[1-20]
Device: ssl.root
Gateway: 0.0.0.0
Distance:2
Priority: 0

Primer Policy:

Source Interface/Zone: WAN1
Source Address: ALL
Destination Interface: internal
Destination Address: ServidorX
Action: SSLVPN
**
Rule ID User Group Service Schedule UTM Logging
1 XX_USER_GROUP RDP always SI SI

Segunda Policy:

Source Interface/Zone: ssl.root
Source Address: RANGO_IP_SSL_XXX
Destination Interface: internal
Destination Address: ServidorX
Schedule: Horario de oficina
Service: RDP
ACtion: Accept
Log allowed traffic: SI
Enable NAT

Tercera policy:

Source Interface/Zone: internal
Source Address: all
Destination Interface: ssl.root
Destination Address: RANGO_IP_SSL_XXX
Schedule: Horario de oficina
Service: ANY
ACtion: Accept
Log allowed traffic: SI
Enable NAT

Esta policy no debería dejarme hacer ping, vnc, rdp o lo que fuere a un cliente conectado?

Otra cosa, no configure otra politica desde ssl.root a wan1 porque en el modo tunel esta configurado Split Tunneling, para que los usuarios NO naveguen por internet a travéz de la VPN si no que utilicen su propia salida donde se conectan.

Si precisan alguna información se las escribo o pongo foto.
Precico cuanto antes poder acceder a los clientes conectados.

Muchisimas gracias de antemano!!!

Saludos,
Diego

[gabyrossi]

Hola, como estas?

las politicas estan bien, yo le sacaria el NAT. No es necesiario.

yo lo que probaria es si esas maquinas aceptan ping o acceso por rdp. eso lo verificaste?
si una de esas maquinas que intentas acceder y no podes la conectas en la red lan, si podes?

supongo que la red ssl es diferente a tu red lan.
tambien supongo que las pc a las cuales queres conectarte no tengo activo algun firewall o antivirus.

saludos.

[dsalnikov]

Hola gabyrossi, gracias por la respuesta.

1- Deshabilite el nat.
2- Aceptan ping y acceso por rdp seguro, por ejemplo, puedo entrar al escritorio remoto desde internet. Es más, las pruebas las estoy realizando yo desde el equipo cliente por escritorio remoto.
3- La subred donde esta el fortigate es 192.168.1.x, la de la subred remota: 192.168.10.x y la ssl: 10.20.30.x
4- Tiene el firewall y antivirus desactivado...

Saludos!

[gabyrossi]

hola, tenes mas de 1 wan usando policy routes?

saludos-

[dsalnikov]

Hola Gabriel, como estas?

Mirá, no tenía 2 wan usando policy route, solo una (WAN1). Pero... mi equipo estaba involucrado para que todo el tráfico saliente se dirija por esa.
Fue eliminar la política y volvió a funcionar todo con normalidad.

Resumiendo, ahora puedo pinguear (o utilizar cualquier servicio que habilite) a los clientes que se conectan por la vpn.
Nuevamente gracias y te felicito por la mano que das a la gente de este foro.

Saludos,
Diego

[gabyrossi]

hola, ok... por suerte me di cuenta que podia ser una policy routes. es un caso tipico cuando hay mas de una wan usando policy routes...

saludos.