Mas info sobre ssl vpn en:
[Debes identificarte para poder ver enlaces.]
saludos.
Problema con configuracion de HA
Re: Problema con configuracion de HA
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
aprendizforti
- Mensajes: 51
- Registrado: 12 Mar 2012, 09:25
Re: Problema con configuracion de HA
Al final después de varias pruebas he visto que con el tunel mode te instala el Forticlient (te dice que te va a instalar un plugin, pero finalmente te instala el FC...), por lo que he optado por crearme un Bookmark (o un connection tool) con el que se haga el remote desktop, y así no te instala nada en el equipo cliente.
Para dejar acceso he creado una regla desde la pata WAN (origen ANY) hasta la pata INTERNAL (destino ANY), y he puesto que sea de tipo VPN SSL, y con el grupo de usuarios VPN SSL que me cree con los usuarios que tengo...creo que con eso es suficiente, no? vamos, lo he probado y así funciona...no se me olvida nada, verdad?
Un saludo y muchas gracias.
Para dejar acceso he creado una regla desde la pata WAN (origen ANY) hasta la pata INTERNAL (destino ANY), y he puesto que sea de tipo VPN SSL, y con el grupo de usuarios VPN SSL que me cree con los usuarios que tengo...creo que con eso es suficiente, no? vamos, lo he probado y así funciona...no se me olvida nada, verdad?
Un saludo y muchas gracias.
Re: Problema con configuracion de HA
hola, claro . si es modo webb, solo esa politica y listo. el destino sera la ip o las ip que necesitan llega en los puertos que necesiten.
saludos.
saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
NSE 5 - Network Security Analyst
-
aprendizforti
- Mensajes: 51
- Registrado: 12 Mar 2012, 09:25
Re: Problema con configuracion de HA
Hola chicos, hay otra cosilla en la que dudo...aunque creo que está bien.
Necesito publicar al exterior varios servicios que corren en distintos servidores, y el "problema" es que por ejemplo, tanto en un servidor como en otro necesito publicar el puerto 443.
Por ello, he pensado que lo mejor (y creo que la única forma) es publicar una VIP que esté en una IP pública (IP de la pata wan), y otra VIP que esté en otra IP pública. Esta segunda IP no es la pata del Forti, pero está dentro del rango de IPs (/29) de la WAN del Forti...¿Hay algún problema? es decir, ¿se pueden hacer VIP en IPs que no sean directamente la IP de la pata WAN del Forti?
Lo que tendré que hacer luego es hacer una regla de salida activando el NAT para que el servidor que se publica en la segunda IP, me salga por esa IP...ya que si no la hago, la salida será por la primera IP que es la salida por defecto...no?
Muchas gracias y un saludo.
Necesito publicar al exterior varios servicios que corren en distintos servidores, y el "problema" es que por ejemplo, tanto en un servidor como en otro necesito publicar el puerto 443.
Por ello, he pensado que lo mejor (y creo que la única forma) es publicar una VIP que esté en una IP pública (IP de la pata wan), y otra VIP que esté en otra IP pública. Esta segunda IP no es la pata del Forti, pero está dentro del rango de IPs (/29) de la WAN del Forti...¿Hay algún problema? es decir, ¿se pueden hacer VIP en IPs que no sean directamente la IP de la pata WAN del Forti?
Lo que tendré que hacer luego es hacer una regla de salida activando el NAT para que el servidor que se publica en la segunda IP, me salga por esa IP...ya que si no la hago, la salida será por la primera IP que es la salida por defecto...no?
Muchas gracias y un saludo.
Re: Problema con configuracion de HA
Buenas,
Si a todo. Es el planteamiento correcto.
Saludos.
Si a todo. Es el planteamiento correcto.
Saludos.
-
aprendizforti
- Mensajes: 51
- Registrado: 12 Mar 2012, 09:25
Re: Problema con configuracion de HA
Felipe escribió:Buenas,
Si a todo. Es el planteamiento correcto.
Saludos.
Felipe,
Si no hago la regla esa de NAT de salida, ¿crees que no funcionaría?
A parte de eso, cuando hago la regla con la VIP, ¿debo marcar debajo el enable NAT que hay? o es suficiente con que la VIP ya haga su propio NAT...
Creo que ese NAT que hay debajo es para que también haga NAT de origen, cosa que en mi caso no necesito....pero no se si estoy en lo cierto.
Finalmente, en caso de tener que hacer NAT de salida, esa regla la tendría que poner justo encima de la regla que permite el acceso desde la WAN a la VIP, ¿verdad?
Muchas gracias,
Re: Problema con configuracion de HA
Buenas,
Si que funcionaría, sólo que cuando tu servidor interno sea el que inicie las conexiones lo harán con la IP pública asignada al firewall en lugar de la que tu has asignado con la VIP. Nosotros hemos tenido un problema en este sentido con servidores de correo, que se liaban porque cuando tenían que enviar un correo a nuestro servidor lo enviaban a una IP, y si era nuestro servidor el que enviaba correo a ellos utilizaba otra IP. Pero si es un servidor web por ejemplo no debería suponer un problema utilizar distintas IPs según el sentido en que se inicie la comunicación.
Cuando creas la regla VIP, puedes hacer NAT o no, en ambos casos funcionará. ¿Cuál es la diferencia? En el caso de activar NAT tus servidores internos siempre recibirán las peticiones de la IP interna del firewall y todo el control de accesos se deberá realizar en el firewall (esto supone un problema para servidores SSH por ejemplo, ya que en el propio servidor no puedes bloquear el acceso a una IP que realice muchos intentos de login, bloquearías el acceso a todos los servidores).
En caso de no utilizar NAT las peticiones que recibirían tus servidores serían de la IP origen de la comunicación por lo que sistemas como el del SSH anteriormente expuesto si te valdría para bloquear atacantes.
En el caso de que tengas que hacer un NAT de salida ten en cuenta que esta política irá en otra sección del firewall, ya que las interfaces origen y destino se intercambian. En este caso deberías ponerla encima de cualquier otra regla que permita el acceso al exterior de los servidores internos y asignar como origen el servidor que quieres que salga con una IP pública distinta de la asignada al firewall. En este caso activas NAT y en función de como quieras hacerlo puedes usar las opciones de IP pool dinámico o Tabla NAT central según tus necesidades.
Espero que te sirva de ayuda saludos.
Si no hago la regla esa de NAT de salida, ¿crees que no funcionaría?
Si que funcionaría, sólo que cuando tu servidor interno sea el que inicie las conexiones lo harán con la IP pública asignada al firewall en lugar de la que tu has asignado con la VIP. Nosotros hemos tenido un problema en este sentido con servidores de correo, que se liaban porque cuando tenían que enviar un correo a nuestro servidor lo enviaban a una IP, y si era nuestro servidor el que enviaba correo a ellos utilizaba otra IP. Pero si es un servidor web por ejemplo no debería suponer un problema utilizar distintas IPs según el sentido en que se inicie la comunicación.
A parte de eso, cuando hago la regla con la VIP, ¿debo marcar debajo el enable NAT que hay? o es suficiente con que la VIP ya haga su propio NAT...
Cuando creas la regla VIP, puedes hacer NAT o no, en ambos casos funcionará. ¿Cuál es la diferencia? En el caso de activar NAT tus servidores internos siempre recibirán las peticiones de la IP interna del firewall y todo el control de accesos se deberá realizar en el firewall (esto supone un problema para servidores SSH por ejemplo, ya que en el propio servidor no puedes bloquear el acceso a una IP que realice muchos intentos de login, bloquearías el acceso a todos los servidores).
En caso de no utilizar NAT las peticiones que recibirían tus servidores serían de la IP origen de la comunicación por lo que sistemas como el del SSH anteriormente expuesto si te valdría para bloquear atacantes.
Finalmente, en caso de tener que hacer NAT de salida, esa regla la tendría que poner justo encima de la regla que permite el acceso desde la WAN a la VIP, ¿verdad?
En el caso de que tengas que hacer un NAT de salida ten en cuenta que esta política irá en otra sección del firewall, ya que las interfaces origen y destino se intercambian. En este caso deberías ponerla encima de cualquier otra regla que permita el acceso al exterior de los servidores internos y asignar como origen el servidor que quieres que salga con una IP pública distinta de la asignada al firewall. En este caso activas NAT y en función de como quieras hacerlo puedes usar las opciones de IP pool dinámico o Tabla NAT central según tus necesidades.
Espero que te sirva de ayuda saludos.
-
aprendizforti
- Mensajes: 51
- Registrado: 12 Mar 2012, 09:25
Re: Problema con configuracion de HA
Hola Felipe,
Realmente esta segunda IP la necesito para publicar los servicios de HTTP, HTTPS y FTP de un servidor Web, por lo que entiendo (por lo que me dices) que entonces no hará falta el NAT de salida...
Si veo que no funciona, lo haré y listo...
Por lo que me dices también, no marcaré la casilla de enable NAT, ya que prefiero que la IP que vea el servidor sea la del cliente de internet que le haga la petición.
Muchas gracias por todo Felipe.
Realmente esta segunda IP la necesito para publicar los servicios de HTTP, HTTPS y FTP de un servidor Web, por lo que entiendo (por lo que me dices) que entonces no hará falta el NAT de salida...
Si veo que no funciona, lo haré y listo...
Por lo que me dices también, no marcaré la casilla de enable NAT, ya que prefiero que la IP que vea el servidor sea la del cliente de internet que le haga la petición.
Muchas gracias por todo Felipe.