VPN SSL varios grupos

[jtamez]

Hola
Tengo un fortigate 200A firmware V4 MR3 P10

quiero hacer una VPN SSL separando los grupos de usuarios tengo locales y otros se autentifican por radius, en fin Grupo1 y grupo2
para que se conecten no tengo problema pero algo me esta fallando en las politicas ya que de momento le di acceso a todo porque si no no no tienen acceso a nada

las politicas quedaron asi
Politica1
source interface -> sslvpn.tunel
source address -> rango ips ssl
destination int -> red interna
destination add -> grupo servidores 1

action -> SSL

ADD
Grupo de usuarios 1
------------------------------------
Politica 2
source interface -> sslvpn.tunel
source address -> rango ips ssl
destination int -> red interna
destination add -> grupo servidores 2

action -> SSL

ADD
Grupo de usuarios 2
_______________________________________

esas dos politicas no funcionaron

porlo que hice una tercera
Politica3
source interface -> sslvpn.tunel
source address -> rango ips ssl
destination int -> red interna
destination add -> lan_interna
service -> any
action -> acept

-------------------------------------

como deben quedar las politicas para que cada grupo vea solo los servidores a los que debe tener acceso?

de antemano gracias por el apoyo

[gabyrossi]

hola, revisa el doc de ssl, ya que estas haciendo mal las politicas...


[Debes identificarte para poder ver enlaces.]
saludos.

[jtamez]

hola

gracias, revisando el manual, aparentemente solo esta mal el source interface

cambie el sslvpn.tunel , y ahora la politica la hice con source interfacce -> WAN1 que es mi enlace a internet, pero sigue sin funcionar

[gabyrossi]

como quedaron las politicas y ruta?

estas probandio modo tunel?

saludos

[jtamez]

Hola Gracias por contestar
sigo con el problema =(

solo tengo una política y la quiero borrar para poner las correctas

Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo de servidores
Action --> ACEPT

oks con esta Polycy se conectan todos a todos los servidores... por lo tanto hay que generar politicas correctas para separar traficos
------------------------------------------------------------------------------------------------------------------------------------------
con estas policy se bloquea el trafico y no pueden ver a los servers, por lo tanto las deshabilite

Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo_servers1
Action --> SSL-VPN
ADD
Grupo_ssl1 / Any / always
----------------------
Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo_servers2
Action --> SSL-VPN
ADD
Grupo_ssl2 / Any / always

gracias

[gabyrossi]

Hola,
estas 2 estarian ok
Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo_servers1
Action --> SSL-VPN
ADD
Grupo_ssl1 / Any / always
----------------------
Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo_servers2
Action --> SSL-VPN
ADD
Grupo_ssl2 / Any / always

falta la de ssl.root hacia la red interna para los 2 rangos de ssl que le das a los 2 portales..
supongo que es en modo tunel
hiciste la ruta de ssl?
las otras politica shciiste no an..

revisa la doc.
saludos

[gabyrossi]

Hola,
estas 2 estarian ok
Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo_servers1
Action --> SSL-VPN
ADD
Grupo_ssl1 / Any / always
----------------------
Source Interface-Zone --> wan1
Source Address --> all
Destination Interface/Zone --> Lan_Local
Destination Address --> Grupo_servers2
Action --> SSL-VPN
ADD
Grupo_ssl2 / Any / always

falta la de ssl.root hacia la red interna para los 2 rangos de ssl que le das a los 2 portales..
supongo que es en modo tunel
hiciste la ruta de ssl?
las otras politica shciiste no an..

revisa la doc.
saludos